Kritisk sårbarhet i Struts 2

En möjlighet för en angripare att fjärrexekvera kod i Struts har hittats och tilldelats CVE 2017-9805.

Vad har hänt?

Apache har publicerat uppdateringsråd för produkten Struts [1].
Alla användare uppmanas att uppdatera till version 2.5.13 eller 2.3.34.
Den ingående sårbarhet som anses kritisk möjliggör för en extern angripare att exekvera godtycklig kod i vissa webbapplikationer som använder insticksmodulen för REST.

Sårbarheten har fått beteckningen "S2-052 Possible Remote Code Execution attack when using the Struts REST plugin with XStream handler to handle XML payloads."

Påverkade produkter

Apache Struts 2.1.2 - Struts 2.3.33, Struts 2.5 - Struts 2.5.12

Rekommendationer

En rättad version, 2.5.13 eller 2.3.34, av produkten finns tillgänglig [2].
CERT-SE rekommenderar att uppdatera sårbara system snarast eftersom det är troligt att sårbarheten kommer att utnyttjas [3].
Om det av någon anledning inte går att uppdatera kan man avlägsna insticksmodulen för REST eller uppdatera denna. Alternativt kan man begränsa modulen till att endast använda JSON [4].

Källa

[1] https://struts.apache.org/announce.html#a20170905
[2] https://struts.apache.org/download.cgi#struts-ga
[3] https://thehackernews.com/2017/09/apache-struts-vulnerability.html
[4] https://struts.apache.org/docs/s2-052.html