Une nouvelle mise à jour de sécurité a été publiée par Apache Software Foundation pour corriger des vulnérabilités sur les versions 2.5 à 2.5.14 d'Apache Struts.
Cette version corrige deux vulnérabilités permettant à un attaquant distant de prendre le contrôle d'un système affecté.
Deux CVEs ont été réservés pour ces vulnérabilités :
- CVE-2017-15707 pour une vulnérabilité dans Apache Struts due à une validation insuffisante des entrées qui pourrait permettre à un attaquant distant non authentifié de soumettre des données JSON malveillantes au système affecté pour provoquer un déni de service (DoS) sur un système ciblé.
- CVE-2017-7525 pour une faille de désérialisation dans la base de données, qui pourrait permettre à un utilisateur non authentifié d'exécuter du code en envoyant une entrée spécialement construite à la méthode « readValue » de « l'Object Mapper ».
Impact
- Exécution de code à distance.
- Déni de service.
Criticité
- CVSS : 8.1
Existence d’un code d’exploitation de la vulnérabilité
Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Struts 2.5 - Struts 2.5.14
CVE
- CVE-2017-7525
- CVE-2017-15707
Correctifs
Apache a publié une mise à jour pour corriger ces vulnérabilités. Les utilisateurs sont invités à passer à la version non vulnérable : Apache Struts 2.5.14.1. (https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.14.1)
Solution de contournement
Il n’existe pas actuellement de solution de contournement.