Une vulnérabilité d'exécution de code à distance a été découverte sur Apache Struts

Apache Struts est un framework MVC (Modèle Vue Contrôleur) open source pour la création d'applications Web en Java. Une vulnérabilité a été découverte au sein du framework, pouvant permettre une exécution de code à distance.

La vulnérabilité se produit lors de la gestion de résultats spécialement conçus ne contenant pas namespace ou que le paramètre d'une url n'a aucune value et aucune action réglée. 

L'exploitation réussie de cette vulnérabilité pourrait permettre l'exécution de code à distance dans le contexte de l'application. Selon les privilèges associés à l'application, un attaquant pourrait installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes utilisateurs avec des droits complets. Une exploitation non réussie de la vulnérabilité pourrait provoquer un déni de service.

Informations
+

Risques

  • Exécution de code à distance
  • Déni de service

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Des preuves de concept (POC) démontrant la vulnérabilité sont disponibles publiquement sur internet.

Composants & versions vulnérables

  • Versions d'Apache Struts antérieures à 2.5.17
  • Versions d'Apache Struts antérieures à 2.3.35

CVE

  • CVE-2018-11776

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version 2.5.17 et de la version 2.3.35.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement. Il est toutefois recommandé d'appliquer le principe de moindre privilèges et de ne pas faire tourner l'application avec un compte applicatif disposant de trop hauts privilèges.