Онлайн
Alvaros
.
- Регистрация
- 14.05.16
- Сообщения
- 21.452
- Реакции
- 101
- Репутация
- 204
Команда Apache Struts
Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода.
Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом.
Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы.
Apache Struts — фреймворк с открытым исходным кодом для создания Java EE web-приложений.
OGNL (Object-Graph Navigation Language) — язык выражений для манипуляции с данными.
Источник:
You must be registered for see links
предупреждение касательно двух опасных
You must be registered for see links
, одна из которых может использоваться для удаленного выполнения кода, а другая — в целях осуществления DoS-атаки.Первая уязвимость (CVE-2019-0230) связана с механизмом OGNL, проявляется при проведении Struts проверки вводимых пользователем данных в атрибутах тегов. Уязвимость может быть проэксплуатирована путем внедрения вредоносных OGNL выражений в атрибут, используемый в OGNL выражении. Эксплуатация проблемы предоставляет возможность удаленного выполнения кода.
Вторая проблема (CVE-2019-0233) представляет собой уязвимость отказа в обслуживании, которая может использоваться для манипулирования разрешением доступа во время загрузки файла. Например, атакующий может модифицировать запрос во время загрузки файла и установить доступ только для чтения, что сделает невозможными дальнейшие действия с файлом.
Обе уязвимости затрагивают версии Apache Struts с 2.0.0 по 2.5.20. Учитывая, что в конце минувшей недели на GitHub были опубликованы PoC-эксплоиты для указанных уязвимостей (на момент написания новости страница недоступна), пользователям настоятельно рекомендуется обновиться до версии 2.5.22, исправляющей проблемы.
Apache Struts — фреймворк с открытым исходным кодом для создания Java EE web-приложений.
OGNL (Object-Graph Navigation Language) — язык выражений для манипуляции с данными.
Источник:
You must be registered for see links