18.08.2020 | Команда Apache Struts предупредила о новых уязвимостях во фреймворке |
Команда Apache Struts опубликовала предупреждение касательно двух опасных уязвимостей , одна из которых может использоваться для удаленного выполнения кода, а другая - в целях осуществления DoS-атаки. Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода. Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом. Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы. Apache Struts - фреймворк с открытым исходным кодом для создания Java EE web-приложений. OGNL (Object-Graph Navigation Language) - язык выражений для манипуляции с данными. |
Проверить безопасность сайта