Ir para conteúdo

Alerta de Vulnerabilidade - Apache Struts

06 Set 2017

Alerta de Vulnerabilidade - Apache Struts

TIPO
Vulnerabilidades
SISTEMAS AFETADOS
Apache Struts (todas as versões superiores a 2008 (desde Struts 2.5 a 2.5.12)
ECOSSISTEMA
Apache, Outro
Descrição

Foi publicada uma vulnerabilidade de execução remota de código utilizando o Struts Rest plugin com o XStream quando manuseia os pedidos XML.
De acordo com o conteúdo publicado, o Rest Plugin, ao ser utilizado com o XStreamHandler, permite que os pedidos sejam processados sem qualquer tipo de filtro/controlo o que pode levar à execução remota de código.
Um atacante apenas necessita de submeter um XML malicioso de forma a poder explorar a vulnerabilidade no servidor.



Impacto

Um atacante pode explorar esta vulnerabilidade remotamente e comprometer o servidor, podendo em última instância conseguir aceder a outros sistemas da mesma rede.



Rsolução

Atualizar o Apache Struts para a versão 2.5.13.



Referências

Apache Struts (Incluí "Workaround" no caso de não ser possível atualizar a versão atual):
- https://struts.apache.org/docs/s2-052.html

LGTM:
- https://lgtm.com/blog/apache_struts_CVE-2017-9805

The Hacker News:
- http://thehackernews.com/2017/09/apache-struts-vulnerability.html

 

Última atualização em 07-09-2022