Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Apache Struts versions 2.1.0 à 2.3.1.
Résumé
De multiples vulnérabilités ont été corrigées dans Apache Struts, dont plusieurs permettent l'exécution de code arbitraire à distance.
Description
Quatre vulnérabilités ont été corrigées dans Apache Struts. Deux consistent en une mauvaise évaluation de l'entrée lors du traitement d'une exception et de témoins de connexion (cookies) et peuvent être exploitées pour exécuter du code arbitraire à distance. Une permet à un attaquant d'écraser des fichiers arbitraires. La dernière n'est exploitable que lorsque le logiciel s'exécute en mode développeur et permet d'exécuter du code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Apache Struts S2-008 http://struts.apache.org/2.x/docs/s2-008.html