Numéro : AV22-204
Date : 13 avril 2022
Mise à jour : 22 avril 2022
Le 12 avril 2022, Apache a publié un bulletin de sécurité visant à corriger une vulnérabilité critique liée au produit suivant :
- Apache Struts – versions 2.0.0 à 2.5.29.
L’exploitation de cette vulnérabilité pourrait mener à l’exécution de code à distance.
Mise à jour 1
Le 20 avril 2022, la cote CVSS de cette vulnérabilité a été élevée à 9,8 dans la base de données nationale sur les vulnérabilités (NVD pour National Vulnerability Database) du National Institute of Standards and Technology (NIST). Par ailleurs, une preuve de concept présumée est offerte. Le Centre pour la cybersécurité tient à signaler que pour avoir été exposé à cette vulnérabilité, il faut avoir utilisé une évaluation de type OGNL (Object-Graph Navigation Language) forcée dans les attributs de la balise sur la base d’une entrée utilisateur non fiable ou non validé, ce qui n’est pas recommandé par Apache.
Le Centre pour la cybersécurité recommande aux utilisateurs et aux administrateurs de consulter la page Web ci-dessous et d’appliquer la mise à jour nécessaire.
Références
Vulnérabilité Apache Struts (en anglais seulement)
Apache Struts | Security Guide | Do not use incoming, untrusted user input in forced expression evaluation (en anglais seulement)
NVD NIST CVE-2021-31805 (en anglais seulement)