Risque

Exécution de code arbitraire à distance.

Systèmes affectés

  • Struts versions 2.0.0 à 2.1.8.1 ;
  • VMware vCenter Orchestrator 4.0 et 4.1.

Résumé

Une vulnérabilité dans Struts version 2 permet à un attaquant d'exécuter du code Java à distance.

Description

Une erreur dans l'évaluation des paramètres des requêtes au serveur par le module XWork, inclus dans Struts, permet à un attaquant d'exécuter du code arbitraire à distance. Cette vulnérabilité affecte également le logiciel VMware vCenter Orchestrator.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation