Apache a identifié et corrigé une vulnérabilité dans Struts 2. Le plugin REST utilise la bibliothèque XStream qui est vulnérable et permettrait de provoquer un déni de service en envoyant des requêtes contenant de l’XML spécialement conçu.
Impact
- Déni de service
Criticité
- CVSS v3 : 7.5
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Struts 2.1.1 à Struts 2.5.14.1
CVE
- CVE-2018-1327
Correctifs
- Mettre à jour vers la version Struts 2.5.16 et installer le gestionnaire Jackson XML.
Solution de contournement
- Il n'existe pas actuellement de solution de contournement.