Veikleiki í Apache Struts 2

CISA hefur gefið út tilkynningu um veikleika í Apache Struts 2 sem getur leitt til þess að óprúttinn aðili getur keyrt hugbúnað sem kerfisstjóri (e. RCE – Remote Code Execution) [1].
Veikleikinn kemur fram þegar notuð er ‘${…}’ málskipan (e. syntax) sem leiðir til þess að innihald er metið tvisvar (e. double  evaluation) [2].
Veikleikinn er með CVE auðkenni CVE-2021-31805 [5] og hefur ekki fengið CVSS skor þegar þessi tilkynning var skrifuð.
Tilkynningar um veikleika af svipuðum meiði í Apache Struts 2 hafa áður verið birtar og þá hafa CVSS skor verið 9.8 [3][4][6][7].
Frekari upplýsingar eru á vefsíðu CISA [1] og Apache [2].
CERT-IS mælir með að kerfisstjórar og endanotendur uppfæri án tafa, mælt er með útgáfu 2.5.30 eða hærri í tilkynningu Apache [2].
Tilvísanir:
[1] https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2
[2] https://cwiki.apache.org/confluence/display/WW/S2-062
[3] https://cwiki.apache.org/confluence/display/WW/S2-061
[4] https://cwiki.apache.org/confluence/display/WW/S2-059
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-31805
[6] https://nvd.nist.gov/vuln/detail/CVE-2020-17530
[7] https://nvd.nist.gov/vuln/detail/CVE-2019-0230