Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidade - Apache Struts

tipo Vulnerabilidades
Sistemas afetadosApache Struts (todas as versões superiores a 2008 (desde Struts 2.5 a 2.5.12)
Ecossistema Outro

Descrição

Foi publicada uma vulnerabilidade de execução remota de código utilizando o Struts Rest plugin com o XStream quando manuseia os pedidos XML.
De acordo com o conteúdo publicado, o Rest Plugin, ao ser utilizado com o XStreamHandler, permite que os pedidos sejam processados sem qualquer tipo de filtro/controlo o que pode levar à execução remota de código.
Um atacante apenas necessita de submeter um XML malicioso de forma a poder explorar a vulnerabilidade no servidor.

impacto

Um atacante pode explorar esta vulnerabilidade remotamente e comprometer o servidor, podendo em última instância conseguir aceder a outros sistemas da mesma rede.

Resolução

Atualizar o Apache Struts para a versão 2.5.13.

Referências

Apache Struts (Incluí "Workaround" no caso de não ser possível atualizar a versão atual):
- https://struts.apache.org/docs/s2-052.html

LGTM:
- https://lgtm.com/blog/apache_struts_CVE-2017-9805

The Hacker News:
- http://thehackernews.com/2017/09/apache-struts-vulnerability.html