Apache Struts
En un aviso publicado en el sitio web Confluence mantenido por la comunidad de ASF, Yasser Zamani descubrió y desarrolló una vulnerabilidad de ejecución remota de código en Apache Struts 2.x. El descubrimiento fue realizado por Man Yue Mo del equipo de investigación de Semmle Security. Desde entonces, la vulnerabilidad recibió la etiqueta CVE-2018-11776. Se encuentra que afecta a las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 de Apache Struts con posibles oportunidades de explotación de ejecución remota de código.
Esta vulnerabilidad surge cuando se utilizan resultados sin espacio de nombres, mientras que sus acciones superiores tampoco tienen ningún espacio de nombres o tienen un espacio de nombres comodín. Esta vulnerabilidad también surge del uso de etiquetas URL sin valores y acciones establecidos.
Se sugiere una solución alternativa en el consultivo para mitigar esta vulnerabilidad, que exige que los usuarios se aseguren de que el espacio de nombres siempre se establezca sin falta para todos los resultados definidos en las configuraciones subyacentes. Además de esto, los usuarios también deben asegurarse de que siempre establecen valores y acciones para las etiquetas URL respectivamente sin fallas en sus JSP. Estas cosas deben tenerse en cuenta y garantizarse cuando el espacio de nombres superior no existe o existe como comodín.
Aunque el proveedor ha señalado que las versiones en el rango de 2.3 a 2.3.34 y 2.5 a 2.5.16 se ven afectadas, también cree que las versiones de Struts no compatibles también pueden estar en riesgo de esta vulnerabilidad. Para las versiones compatibles de Apache Struts, el proveedor ha lanzado la versión de Apache Struts 2.3.35 para las vulnerabilidades de la versión 2.3.x, y ha lanzado la versión 2.5.17 para las vulnerabilidades de la versión 2.5.x. Se solicita a los usuarios que se actualicen a las versiones respectivas para evitar el riesgo de explotación. La vulnerabilidad se clasifica como crítica y, por lo tanto, se solicita una acción inmediata.
Además de la mera corrección de estas posibles vulnerabilidades de ejecución remota de código, las actualizaciones también contienen algunas otras actualizaciones de seguridad que se han implementado de una vez. No se esperan problemas de compatibilidad con versiones anteriores, ya que otras actualizaciones diversas no forman parte de las versiones del paquete publicadas.
