Apache publie une nouvelle mise à jour de sécurité pour Struts (2.5.14.1)

Une nouvelle mise à jour de sécurité a été publiée par Apache Software Foundation pour corriger des vulnérabilités sur les versions 2.5 à 2.5.14 d'Apache Struts.

Cette version corrige deux vulnérabilités permettant à un attaquant distant de prendre le contrôle d'un système affecté.

Deux CVEs ont été réservés pour ces vulnérabilités :

  • CVE-2017-15707 pour une vulnérabilité dans Apache Struts due à une validation insuffisante des entrées qui pourrait permettre à un attaquant distant non authentifié de soumettre des données JSON malveillantes au système affecté pour provoquer un déni de service (DoS) sur un système ciblé.
  • CVE-2017-7525 pour une faille de désérialisation dans la base de données, qui pourrait permettre à un utilisateur non authentifié d'exécuter du code en envoyant une entrée spécialement construite à la méthode « readValue » de « l'Object Mapper ».
Informations
+

Impact

  • Exécution de code à distance.
  • Déni de service.

Criticité

  • CVSS : 8.1

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Struts 2.5 - Struts 2.5.14

CVE

  • CVE-2017-7525
  • CVE-2017-15707

Recommandations
+

Correctifs

Apache a publié une mise à jour pour corriger ces vulnérabilités. Les utilisateurs sont invités à passer à la version non vulnérable : Apache Struts 2.5.14.1. (https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1)

Solution de contournement

Il n’existe pas actuellement de solution de contournement.