Apache Struts
Trong một lời khuyên được công bố trên trang web Confluence do cộng đồng ASF duy trì, một lỗ hổng thực thi mã từ xa trong Apache Struts 2.x đã được phát hiện và xây dựng bởi Yasser Zamani. Phát hiện được thực hiện bởi Man Yue Mo thuộc nhóm nghiên cứu Semmle Security. Lỗ hổng bảo mật đã được gắn nhãn CVE-2018-11776. Nó được phát hiện là ảnh hưởng đến các phiên bản Apache Struts 2.3 đến 2.3.34 và 2.5 đến 2.5.16 với các cơ hội khai thác thực thi mã từ xa có thể xảy ra.
Lỗ hổng này phát sinh từ khi các kết quả không có không gian tên được sử dụng trong khi các hành động trên của chúng không có bất kỳ không gian tên nào hoặc có không gian tên ký tự đại diện. Lỗ hổng này cũng phát sinh từ việc sử dụng các thẻ URL mà không có các giá trị và hành động được thiết lập.
Một công việc xung quanh được đề xuất trong tham mưu để giảm thiểu lỗ hổng này, đòi hỏi người dùng phải đảm bảo rằng không gian tên luôn được đặt mà không bị lỗi cho tất cả các kết quả đã xác định trong các cấu hình bên dưới. Ngoài ra, người dùng cũng phải đảm bảo rằng họ luôn đặt các giá trị và hành động tương ứng cho các thẻ URL mà không bị lỗi trong JSP của họ. Những điều này cần được xem xét và đảm bảo khi không gian tên phía trên không tồn tại hoặc tồn tại dưới dạng ký tự đại diện.
Mặc dù nhà cung cấp đã vạch ra rằng các phiên bản trong phạm vi 2.3 đến 2.3.34 và 2.5 đến 2.5.16 bị ảnh hưởng, nhưng họ cũng tin rằng các phiên bản Struts không được hỗ trợ cũng có thể gặp rủi ro về lỗ hổng này. Đối với các phiên bản được hỗ trợ của Apache Struts, nhà cung cấp đã phát hành phiên bản Apache Struts 2.3.35 cho các lỗ hổng phiên bản 2.3.x và nó đã phát hành phiên bản 2.5.17 cho các lỗ hổng của phiên bản 2.5.x. Người dùng được yêu cầu nâng cấp lên các phiên bản tương ứng để tránh nguy cơ bị lợi dụng. Lỗ hổng được xếp hạng là nghiêm trọng và do đó hành động ngay lập tức được yêu cầu.
Ngoài việc chỉ sửa chữa các lỗ hổng thực thi mã từ xa có thể có này, các bản cập nhật cũng chứa một số bản cập nhật bảo mật khác đã được triển khai tất cả trong một lần. Các vấn đề tương thích ngược không được mong đợi vì các bản cập nhật linh tinh khác không phải là một phần của các phiên bản gói được phát hành.
