เรื่องช่องโหว่ Apache Struts2 ยังไม่จบ!!! พบช่องโหว่เพิ่มอีก

ก่อนหน้านี้เราเคยพูดถึง Apache Struts2 ไปแล้วว่ามีช่องโหว่ที่ทำให้เกิด Remote Code Execution ซึ่งก่อนหน้านี้เราพบว่าเป็นช่องโหว่ในส่วน Library จัดการไฟล์ upload ซึ่งเป็นที่ Header Content-Type แต่จริงๆแล้วมันยังมีอีก @Alvaro_monoz ได้ทำการค้นคว้าช่องโหว่ดังกล่าวเพิ่มเติมใน library อื่นๆพบว่า Apache Struts2 นั้นไม่ได้มีช่องโหว่ที่ Content-Type เท่านั้นยังเป็นในส่วนของ Content-Disposition ซึ่งเป็นส่วน Upload Body Data อีกด้วย…
View Post

พบช่องโหว่ RCE ใน Apache Struts 2 แถมเริ่มมีการโจมตีมายังเว็บไซด์ในประเทศไทยแล้ว

Apache Struts 2 เป็น Web Application Framework สำหรับการทำ Java EE web application ซึ่งถือว่าได้รับความนิยมในระดับหนึ่ง ซึ่งมีข่าวร้ายคือพบช่องโหว่รุนแรงอย่าง Remote Code Execution (RCE:การสั่งงานระยะไกล) แถมเริ่มมีการถูกนำมาใช้แล้วอีกด้วย (รวมถึงมายังประเทศไทยด้วย) ช่องโหว่ RCE ที่พบโดย Nike Zheng เป็นช่องโหว่ที่กระทบกับ Apache Struts 2.3.5 –…
View Post