Veikleiki í Apache Struts 2

13. apríl 2022

CISA hefur gefið út tilkynningu um veikleika í Apache Struts 2 sem getur leitt til þess að óprúttinn aðili getur keyrt hugbúnað sem kerfisstjóri (e. RCE - Remote Code Execution) [1]. 

Veikleikinn kemur fram þegar notuð er '${...}' málskipan (e. syntax) sem leiðir til þess að innihald er metið tvisvar (e. double  evaluation) [2]. 

Veikleikinn er með CVE auðkenni CVE-2021-31805 [5] og hefur ekki fengið CVSS skor þegar þessi tilkynning var skrifuð. 

Tilkynningar um veikleika af svipuðum meiði í Apache Struts 2 hafa áður verið birtar og þá hafa CVSS skor verið 9.8 [3][4][6][7]. 

Frekari upplýsingar eru á vefsíðu CISA [1] og Apache [2]. 

CERT-IS mælir með að kerfisstjórar og endanotendur uppfæri án tafa, mælt er með útgáfu 2.5.30 eða hærri í tilkynningu Apache [2]. 
 

Tilvísanir: 
[1] https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2
[2] https://cwiki.apache.org/confluence/display/WW/S2-062
[3] https://cwiki.apache.org/confluence/display/WW/S2-061
[4] https://cwiki.apache.org/confluence/display/WW/S2-059
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-31805
[6] https://nvd.nist.gov/vuln/detail/CVE-2020-17530
[7] https://nvd.nist.gov/vuln/detail/CVE-2019-0230

Til baka