Struts 2

Die Schwachstelle steckt in der Komponente ExceptionDelegator des Web-Frameworks Apache Struts 2, das zur Entwicklung von Java-Webanwendungen dient. Der Defekt liegt in einer mangelhaften Prüfung von Eingaben: Wenn beim Verarbeiten von Anfrageparametern die Datentypen einer Eigenschaft nicht zusammenpassen, gerät die Anwendung in eine Ausnahmebehandlung – und dabei deutet das Framework den übergebenen Parameterwert fälschlich als OGNL-Ausdruck und führt ihn aus. OGNL ist die in Struts verwendete Ausdruckssprache, mit der sich Objekte und Werte zur Laufzeit ansprechen lassen. Ein Angreifer kann aus der Ferne einen eigens präparierten Parameter senden und auf diesem Weg beliebigen Java-Code auf dem Server zur Ausführung bringen. Eine vorherige Anmeldung ist dafür nicht erforderlich. Damit erlangt der Angreifer die Kontrolle über die betroffene Webanwendung und potenziell über das zugrunde liegende System. Betroffen sind Server, auf denen mit Struts 2 entwickelte Anwendungen laufen.