Kritische kwetsbaarheid in Apache Struts
CVE-2018-11776
Kritisch
Bronnen
Risico’s
De kwetsbaarheid CVE-2018-1176 werd geregistreerd onder de categorie: Remote Code Execution en wordt beschouwd als een kritiek probleem.
Een aanvaller zou van deze kwetsbaarheid gebruik kunnen maken door een specifieke url naar een kwetsbare webserver te sturen, waarna de kwaadaardige code wordt uitgevoerd. De aanvaller kan op deze manier de volledige server overnemen.
Beschrijving
De kwetsbaarheid werd ontdekt in de Apache Struts software, de volgende versies worden als kwetsbaar beschouwd en moeten dringend gepatcht worden: Struts 2.3 - 2.3.34, Struts 2.5 - 2.5.16
De kwetsbaarheid (CVE-2018-11776) bevindt zich in de kern van Apache Struts en komt voort uit onvoldoende validatie van wat gebruikers ingeven binnen de kern van het Struts-framework .
Systeembeheerders kunnen evalueren of hun configuratie kwetsbaar is als er aan de volgende voorwaarden wordt voldaan:
· De alwaysSelectFullNamespace flag de waarde “true” heeft in de Struts configuratie.
· Het configuratiebestand voor Struts een "action"- of "url"-tag bevat die zowel het optionele namespace-attribuut of een namespace aan de hand van een jokerteken niet mag specifiëren.
Opmerking: zelfs als de toepassing momenteel niet kwetsbaar is, wordt het sterk aanbevolen om te patchen om te voorkomen dat het system kwetsbaar wordt door een recente configuratiewijziging.
Let op: Een proof of concept voor de kwetsbaarheid is gepubliceerd!
Aanbevolen acties
CERT.be raadt systeembeheerders aan hun systemen te upgraden naar Apache Struts versie 2.3.35 of 2.5.17. Zelfs als de applicatie momenteel niet kwetsbaar is, is het mogelijk dat een toekomstige wijziging in een Struts-configuratiebestand, de applicatie kwetsbaar maakt.