В Apache Struts обнаружена критическая уязвимость

В известном фреймворке для создания web-приложений Apache Struts эксперты обнаружили критическая уязвимость. С ее помощью удаленный атакующий может запускать на сервере вредоносный код. Проблема затрагивает версии фреймворка, выпускаемые с 2008 года (от Struts 2.5 до Struts 2.5.12).

Уязвимость (CVE-2017-9805) существует из-за программной ошибки в процессе обработки Apache Struts данных из недоверенных источников. А именно: плагин REST не способен обработать полезную нагрузку XML при должной десериализации. Вследствие этого все web-приложения, где используется плагин REST, являются уязвимыми к удаленным атакам.

Как пояснили обнаружившие брешь эксперты из компании LGTM, проэксплуатировать уязвимость для злоумышленника очень легко. «Все, что вам нужно – это браузер», – отметил специалист LGTM Ман Юэ Мо. Для осуществления атаки нужно внедрить вредоносный XML-код в определенном формате. В случае удачи, хакер получит полный контроль над уязвимым сервером и в результате сможет проникнуть в другие системы, находящиеся в той же сети.

На данный момент проблема уже решена в версии Apache Struts 2.5.13.

Источник: securitylab.ru

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*