Notificar incidente

Alertas de Segurança

Alerta de Vulnerabilidade - Apache Struts

tipo Vulnerabilidades
Sistemas afetadosApache Struts <= 2.3.36
Ecossistema Outro

Descrição

Foi encontrada uma vulnerabilidade na biblioteca Common Fileupload permitindo que um atacante possa realizar ataques de execução de código remoto.
Esta vulnerabilidade afeta todas as versões do Apache Struts até à versão 2.3.36, inclusive.
Acima das versões do Apache Struts 2.5.12, já não é usada a versão vulnerável do biblioteca.

impacto

Um atacante pode realizar ataques de execução de código remoto.

Resolução

Substituir o arquivo jar commons-fileupload no WEB-INF/lib com o jar corrigido (1.3.3).
Para projectos Struts 2 baseados em Maven, a seguinte dependência precisa ser adicionada:
<dependency>
     <groupId>commons-fileupload</groupId>
     <artifactId>commons-fileupload</artifactId>
     <version>1.3.3</version>
</dependency>

Referências

Apache:
- http://mail-archives.us.apache.org/mod_mbox/www-announce/201811.mbox/%3CCAMopvkMo8WiP%3DfqVQuZ1Fyx%3D6CGz0Epzfe0gG5XAqP1wdJCoBQ%40mail.gmail.com%3E
- https://issues.apache.org/jira/browse/FILEUPLOAD-279