Kritisk sårbarhet i Apache Struts 2

Publisert: 24.09.2018

Det er en kritisk sårbarhet i Java MVC-rammeverket Apache Struts. Sårbarheten, tildelt CVE-2018-11776, åpner for at en angriper kan kjøre vilkårlig kode [1].

Sårbarheten finnes i alle programmer som bruker Apache Struts 2.
Følgende støttede versjoner av Apache Struts 2 er sårbare:

  • Apache Structs 2.3 til 2.3.34
  • Apache Structs 2.5 til 2.5.16

Ytterligere informasjon om sårbarheten er tilgjengelig på bloggen til personen som oppdaget sårbarheten [2], selskapet Semmle [3], og i en nyhetsartikkel fra The Register [4].

Vi anser det som mulig at ondsinnede aktører vil skanne etter, og utnytte, sårbare instanser av Apache Struts. Det er også mulig at ondsinnede aktører allerede har kartlagt virksomheter med instanser av Apache Struts.

Vi anbefaler systemansvarlige for instanser av produkter som benytter Apache Struts 2 å ta kontakt med utviklerne av disse for å få produktene oppdatert.

Ved spørsmål er NorCERT tilgjengelig 24/7 på e-post og telefon: 02497.

  1. https://cwiki.apache.org/confluence/display/WW/S2-057
  2. How to find 5 RCEs in Apache Struts with Semmle QL
  3. Semmle Discovers Critical Remote Code Execution Vulnerability in Apache Struts
  4. Apache's latest SNAFU – Struts normal, all fscked up: Web app framework needs urgent patching (the Register)