Podatność w Apache Struts pozwala atakującemu na manipulację parametrami przesyłania plików w celu przeprowadzenia path traversal, co w określonych okolicznościach umożliwia wgranie złośliwego pliku i zdalne wykonanie kodu (RCE). Krytyczny poziom CVSS 9.8 oznacza, że exploit nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
An attacker can manipulate file upload params to enable paths traversal and under some circumstances this can lead to uploading a malicious file which can be used to perform Remote Code Execution. Users are recommended to upgrade to versions Struts 2.5.33 or Struts 6.3.0.2 or greater to fix this issue.
Atakujący manipuluje parametrami żądania HTTP odpowiedzialnymi za przesyłanie plików, aby obejść ograniczenia ścieżki docelowej (path traversal, CWE-552 — nieprawidłowa kontrola dostępu do zasobów po stronie serwera). W wyniku tego możliwe jest zapisanie pliku w nieoczekiwanej lokalizacji na serwerze. Jeśli plik zostanie umieszczony w katalogu dostępnym przez serwer aplikacji, może zostać następnie wykonany jako kod serwerowy, co prowadzi do pełnego RCE.
Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem aplikacji — odczytywać poufne dane, modyfikować je oraz wykonywać dowolne polecenia systemowe (RCE).
Należy zaktualizować Apache Struts do wersji 2.5.33 lub 6.3.0.2 albo nowszych. Producent jednoznacznie wskazuje te wersje jako zawierające poprawkę bezpieczeństwa.
Apache Struts w wersjach wcześniejszych niż 2.5.33 oraz wcześniejszych niż 6.3.0.2
Podatność jest śledzona przez Apache jako S2-066. Publicznie dostępny exploit (Packet Storm Security) umożliwia RCE poprzez przesyłanie plików — mimo braku wpisu w CISA KEV, ryzyko aktywnego wykorzystania jest realne i wymaga pilnego patchowania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Struts
APPApache2.0.0 – 2.5.33 (bez)6.0.0 – 6.3.0.2 (bez)
Powiązane podatności
Forced OGNL evaluation, when evaluated on raw user input in tag attributes, may lead to remote code execution....
The Struts 1 plugin in Apache Struts 2.1.x and 2.3.x might allow remote code execution via a malicious field v...
The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect ex...
Apache Struts 2.0.0 through 2.3.15 allows remote attackers to execute arbitrary OGNL expressions via a paramet...
The ExceptionDelegator component in Apache Struts before 2.2.3.1 interprets parameter values as OGNL expressio...