นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด
CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้
โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว
ที่มา : SECURITYWEEK
You must be logged in to post a comment.