Апацхе Струтс
У упутству објављеном на веб локацији Цонфлуенце, коју одржава АСФ заједница, рањивост удаљеног извршавања кода у Апацхе Струтс 2.к открио је и разрадио Иассер Замани. Откриће је направио Ман Иуе Мо из истраживачког тима Семмле Сецурити. Осетљивост је од тада добила ознаку ЦВЕ-2018-11776. Утврђено је да утиче на верзије 2.3 до 2.3.34 и 2.5 до 2.5.16 на Апацхе Струтс са могућим могућностима експлоатације даљинског извршавања кода.
Ова рањивост настаје када се користе резултати без простора имена, док њихове горње акције немају нити простор имена нити имају простор имена. Ова рањивост такође произлази из употребе УРЛ ознака без постављених вредности и радњи.
Заобилазно решење је предложено у саветодавни да ублажи ову рањивост која захтева да корисници осигурају да је простор имена увек постављен без грешке за све дефинисане резултате у основним конфигурацијама. Поред тога, корисници такође морају осигурати да увек постављају вредности и радње за УРЛ ознаке, односно без грешке у својим ЈСП-овима. Ове ствари треба размотрити и осигурати када горњи простор имена не постоји или постоји као џокер знак.
Иако је добављач истакао да то утиче на верзије у распону од 2,3 до 2,3,34 и 2,5 до 2,5,16, они такође верују да неподржане верзије Струтс-а такође могу бити изложене ризику од ове рањивости. За подржане верзије Апацхе Струтс, добављач је објавио верзију Апацхе Струтс 2.3.35 за рањивости верзије 2.3.к и издао је верзију 2.5.17 за верзију 2.5.к рањивости. Корисници се морају надоградити на одговарајуће верзије како би се клонили ризика од експлоатације. Рањивост је рангирана као критична и самим тим се захтева хитна акција.
Поред пуког исправљања ових могућих рањивости за извршење даљинског кода, исправке садрже и неколико других безбедносних исправки које су представљене у једном потезу. Не очекују се проблеми са компатибилношћу уназад јер друга различита ажурирања нису део објављених верзија пакета.
