События

Опубликован PoC-эксплоит для новой уязвимости в Apache Struts

В пятницу, 24 августа, в репозитории на GitHub появился PoC-эксплоит для недавно обнаруженной уязвимости в Apache Struts (CVE-2018-11776). Вместе с PoC-эксплоитом также был опубликован упрощающий его использование скрипт на Python.

Как сообщает архитектор систем безопасности компании Recorded Future Аллан Лиска (Allan Liska), на русских и китайских хакерских форумах уже ведется обсуждение эксплуатации данной уязвимости. Напомним, проблема затрагивает версии фреймворка от 2.3 до 2.3.34 и от 2.5 до 2.5.16 и позволяет удаленно выполнить код. Исправляющие проблему обновления доступны для всех поддерживаемых версий Apache Struts 2. Пользователям Struts 2.3 рекомендуется обновиться до версии 2.3.35, а пользователям 2.5 – до версии 2.5.17.

По словам Лиски, CVE-2018-11776 еще более опасна, чем уязвимость в Apache Struts, приведшая к масштабной утечке данных бюро кредитных историй Equifax. В отличие от нее, для эксплуатации новой уязвимости не нужны никакие плагины, достаточно лишь использовать особым образом сконфигурированный URL. Кроме того, на GitHub уже есть PoC-эксплоит, а на форумах активно ведется обсуждение эксплуатации.

Организации подвергаются большему риску, поскольку могут просто не знать о существовании проблемы, ведь Apache Struts лежит в основе многих различных систем, в том числе от Oracle и Palo Alto.

Источник

Автор: Сергей Куприянов
27.08.2018 (10:09)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.