Команда Apache Struts предупредила о новых уязвимостях во фреймворке

Команда Apache Struts опубликовала предупреждение касательно двух опасных уязвимостей, одна из которых может использоваться для удаленного выполнения кода, а другая - в целях осуществления DoS-атаки.

Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода.

Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом.

Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы.

Apache Struts - фреймворк с открытым исходным кодом для создания Java EE web-приложений.

OGNL (Object-Graph Navigation Language) - язык выражений для манипуляции с данными.