Security Researcher พบช่องโหว่ Remote Code Execution ใน Apache Struts2 ที่ใช้ REST Plugin ทำให้ Attacker สามารถยึดเครื่องได้ทันที

Apache Struts2 เป็น Open Source Model-View-Controller (MVC) framework ซึ่งเอาไว้สำหรับ develop web application ด้วยภาษา Java ซึ่ง support ทั้งการทำงานแบบ REST API, AJAX และ JSON โดย Security Researcher พบช่องโหว่ CVE-2017-9805 ซึ่งเป็นการทำงานที่ผิดพลาดในการ process data ที่เป็น XML ของ REST Plugin

Apache Struts  ตั้งแต่ version 2008 หากมีการใช้งาน REST Plugin จะได้รับผลกระทบหมด (Struts 2.1.2 – Struts 2.3.33, Struts 2.5 – Struts 2.5.12)

ผลกระทบ: Remote Code Execution (Critical Severity)
ระบบที่ได้รับผลกระทบ: Struts 2.1.2 – Struts 2.3.33, Struts 2.5 – Struts 2.5.12 ที่ใช้ REST Plugin
วิธีแก้ไข: update เป็น Struts version 2.5.13

Source:: Apache, lgtm, Rapid7