Apache, Struts web uygulama sunucusundaki çoklu güvenlik açıklıklarıyla ilgili bir yama yayınladı. Java'da web uygulama geliştirmek için kullanılan Struts, Java servlets'e hizmet verir. Açıklıklardan biri Struts'ın istisna ayıklama sırasında raporlamada oluşan bir sorunu içermektedir. Kullanıcı destekli değişken değerleri OGNL ifadeleri gibi hesaplanmaktadır. OGNL, Java için bir anlatım dilidir ve Java'nın sadece belli bir alt kümesinin kullanmasına izin verir. Buna rağmen hala yeteri miktarda gelişi güzel kod çalıştırma açıklığı mevcuttur. Diğer açıklık ise çerez isimlerinin güvensiz olarak değerlendirilmesini içermektedir. Bu açıklık bir saldırgan tarafından statik metodlara erişmek için kullanılmaktadır. Zararlı bir istek gönderilerek, saldırgan hedef makine üzerinde gelişi güzel kod çalıştırarak bu açıklıklardan faydalanabilir.
Etki:
Gelişi güzel kod çalıştırma.
Çözüm:
Firma açıklıkları kabul etmiştir ve gerekli güncellemeleri yayınlamıştır.
Yüksek