Организация Apache Software Foundation устранила критическую уязвимость, которая затрагивает все версии Apache Struts 2. Первыми баг обнаружили исследователи Semmle, он вызван неполной проверкой ненадежных пользовательских данных в базовой структуре Struts.
Поскольку недостаток безопасности, получивший идентификатор CVE-2018-11776, содержится в ядре Struts, у злоумышленников есть несколько векторов для атаки.
Если для параметра alwaysSelectFullNamespace в конфигурации Struts установлено значение true, то, вероятнее всего, сборка уязвима для таких атак.
Параметр принимает такое значение автоматически при использовании плагина Struts Convention.
Уязвимость обнаружил член команды безопасности Semmle Ман Юэ Мо.
«Эта уязвимость связана с языком Struts OGNL, с которым очень хорошо знакомы киберпреступники. Они уже использовали его в прошлом»,— отмечает Мо.
Поскольку брешь затрагивает все версии Apache Struts 2, компания рекомендуется немедленно обновить свои сборки. Использующие Struts 2.3 должны обновиться до 2.3.35, а те, кто пользуется Struts 2.5, — до версии 2.5.17.
