Apache har publicerat uppdateringsrådet S2-057 för produkten Struts 2. Den ingående sårbarhet som anses kritisk möjliggör för en extern angripare att exekvera godtycklig kod i webbapplikationer som använder namespace på vissa sätt. Ytterligare information finns att tillgå.
Skanningar efter sårbara installationer sker redan. Möjligen fungerande PoC finns tillgänglig och fler exploateringsexempel väntas komma.
Påverkade produkter
- Apache Struts 2.3 till och med 2.3.34
- Apache Struts 2.5 till och med 2.5.16
Rättade versioner, 2.3.35 eller 2.5.17, av produkten finns tillgängliga. MSB:s drivna CERT-SE, Sveriges computer emergency response team, rekommenderar att uppdatera sårbara system omedelbart eftersom det är troligt att sårbarheten redan utnyttjas aktivt. Systemadministratörer och säkerhetsansvariga bör söka efter redan genomförda angrepp, menar CERT-SE.
"Det är inte första och sannolikt inte sista gången allvarliga sårbarheter drabbar Struts-ramverket. Därför rekommenderar vi att förstärka befintliga installationer eller på andra vis skydda dem från direkta angrepp, skriver CERT-SE på sin hemsida.
Sverige
