นักวิจัยพบช่องโหว่ใน Apache Struts 2 ช่องโหว่นี้เกิดจาการการใช้ผลลัพธ์ที่ไม่มี namespace และในขณะเดียวกันไม่มี upper action หรือไม่มี wildcard namespace ในกรณีเดียวกัน เมื่อมีการใช้ แท็ก URL ที่ไม่มีค่า และ action set พร้อมกัน มันก็จะทำให้ไม่มี upper action หรือไม่มี wildcard namespace เช่นเดียวกัน
ช่องโหว่นี้ส่งผลกระทบกับ Apache Struts versions 2.3 จนถึง 2.3.34 และ 2.5 ถึง 2.5.16 หมายเลขช่องโหว่คือ CVE-2018-11776
ช่องโหว่นี้ได้รับการพิสูจน์แล้วจากนักวิจัยว่าสามารถทำให้ Hacker รันโค้ดจากระยะไกลบนเครื่องเป้าหมายได้
Allan Liska จาก Recorded Future กล่าวว่าได้มีการกล่าวถึงช่องโหว่นี้ในเว็บบอร์ดใต้ดินต่างๆ ทั้งในจีน และรัสเซียอีกทั้งยังมีโค้ดที่ใช้ทดสอบเจาะช่องโหว่นี้ให้ดาวน์โหลดแล้วบน GitHub
วิธีการแก้ไขแนะนำให้ทำการอัพเดตเป็น Struts 2.3.35 หรือ Struts 2.5.17 ที่มีให้ดาวน์โหลดแล้วตอนนี้
ที่มา : Red Hat CVE Database, Threat Post