Apache Struts 2にリモートからの任意コード実行を許す脆弱性
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
対象はApache Struts 2.3.5 ~ 2.3.31および2.5 ~ 2.5.10。Struts 2はOGNLという独自の言語でJavaオブジェクトを操作できる機能を備えており、しばしばOGNLが原因の脆弱性が発見されていたが、今回もOGNL周りの問題のようで、Content-Typeヘッダ内に細工したOGNKを入れるだけで攻撃できてしまう模様。
ちなみにStrutsについては2014年にセキュリティ的には相当にダメな部類などと指摘されてたりする。
情報元へのリンク
Apache Struts 2にリモートからの任意コード実行を許す脆弱性 More ログイン