Apache Struts, Java çerçeve sürümü 2.3.14.2 güncelleştirmesiyle saldırganların sunucuya kod enjekte etme açığını kapattı. Kod enjekteleri örnek ile özel hazırlanmış HTTP istekleriyle yapılabiliyordu. Açık CVE-2013-2115 ve CVE-2013-1966 olarak tespitlendi. Açık son derece kritik olduğunu belirtti.

Riskin önemini Struts geliştiricileri burada belirtmişler. Güvenlik açığı ayrıntıları ve Proof of Concept (PoC) kanıtı Coverity blog danışmanlığı bağlantısında bulunabilir. Aslında Struts 2.3.14.1 için güncelleme açıklarını kapatması gerekiyordu ancak güncelleme tüm potansiyel saldırıyla vektörlerinin engellenmesinde başarısız oldu. Tüm sürümler 2.3.14.2 güncellemesine açıktır.

Bu henüz Struts çerçevesi için başka OGNL ile ilgili bir sorundur. Ifade dili uygulanmasında açıklar daha öncede bulunmuştu, Ocak 2012, Ağustos 2010'da ve Kasım 2008'de kapatılmıştı.

Kaynak: H-Online