Struts

Die Schwachstelle betrifft Apache Struts, ein verbreitetes Framework zur Entwicklung von Java-Webanwendungen. Ursache ist eine unzureichende Prüfung von Eingabedaten: Struts wertet bestimmte Parameter aus, denen ein besonderer Präfix wie „action:", „redirect:" oder „redirectAction:" vorangestellt ist. Über einen entsprechend manipulierten Parameter kann ein Angreifer eigene Ausdrücke der internen Skriptsprache OGNL (Object-Graph Navigation Language) einschleusen, die das Framework anschließend ausführt. Der Angriff lässt sich aus der Ferne und ohne vorherige Anmeldung durchführen – es genügt eine präparierte Anfrage an die Webanwendung. Da sich über OGNL beliebige Ausdrücke auswerten lassen, kann ein Angreifer letztlich eigenen Code auf dem Server zur Ausführung bringen und so die Kontrolle über die betroffene Anwendung übernehmen. Betroffen sind Webanwendungen, die auf den anfälligen Struts-Versionen aufsetzen; gefährdet sind insbesondere öffentlich aus dem Internet erreichbare Anwendungen.