ก่อนหน้านี้ Apache ได้แก้ไขช่องโหว่ระดับ Critical ของ Struts ซึ่งมีการใช้งานกันอย่างแพร่หลาย แต่มีการพบว่าแพตซ์ที่แก้ไขไปนั้นยังไม่สมบูรณ์

ด้วยเหตุนี้ Cybersecurity and Infrastructure Security Agency (CISA) จึงแนะนำผู้ใช้ และผู้ดูแลระบบอัปเกรดเวอร์ชัน Struts 2 ให้เป็นแพตซ์เวอร์ชันล่าสุดอีกครั้งหนึ่ง

Struts เป็น open-source แอปพลิเคชัน ที่นักพัฒนาเว็บ Java มักนำไปใช้สำหรับการสร้างแอป model–view–controller (MVC)

ช่องโหว่ Remote Code Execution (RCE) ยังไม่ได้รับการแก้ไขอย่างสมบูรณ์

ในสัปดาห์นี้ DHS CISA ออกคำแนะนำให้องค์กรต่างๆที่มีการใช้งาน Struts อัปเกรดเป็นเวอร์ชัน 2.5.30 (หรือสูงกว่า) เพื่อแก้ไขช่องโหว่ OGNL Injection ซึ่งมีหมายเลข CVE-2021-31805 โดยช่องโหว่ดังกล่าวจะกระทบกับ Struts 2 เวอร์ชันตั้งแต่ 2.0.0 ขึ้นไปและรวมถึง 2.5.29 โดยช่องโหว่นี้เป็นผลมาจากการแก้ไขช่องโหว่ที่ไม่สมบูรณ์ของ CVE-2020-17530

ย้อนไปในปี 2020 นักวิจัย Alvaro Munoz จาก GitHub และ Masato Anzai จาก Aeye Security Lab เคยได้รายงานช่องโหว่เกี่ยวกับการทำ "double evaluation" ใน Struts2 เวอร์ชัน 2.0.0 - 2.5.25 ซึ่ง Apache ออกอัปเกรดแพตซ์ Struts เป็นเวอร์ชัน 2.5.26

แม้ว่า Apache จะออกแพตซ์แก้ไขช่องโหว่มาตั้งแต่ปี 2020 แต่ภายหลัง Chris McCown นักวิจัยพบว่าแพตซ์ที่ออกมายังแก้ไขช่องโหว่ได้ไม่สมบูรณ์ McCown รายงานสิ่งที่เค้าพบกับ Apache ว่าช่องโหว่ "double evaluation" ยังคงสามารถโจมตีได้ใน Struts เวอร์ชัน 2.5.26 ส่งผลให้มีการกำหนดเลข CVE-2021-31805

ดังนั้นแนะนำให้ผู้ใช้งานอัปเกรด Struts ให้เป็นเวอร์ชัน 2.5.30 ขึ้นไปทันที

ที่มา : bleepingcomputer