Struts

Die Schwachstelle steckt im Jakarta-Multipart-Parser von Apache Struts, der Bestandteil zur Verarbeitung von Datei-Uploads in Webanwendungen ist. Bei einem hochgeladenen Inhalt behandelt der Parser Ausnahmen fehlerhaft und erzeugt eine fehlerhafte Fehlermeldung. Dieser Fehler lässt sich missbrauchen: Ein Angreifer manipuliert einen HTTP-Header der Anfrage – etwa Content-Type, Content-Disposition oder Content-Length – und schleust darin einen Ausdruck ein, der vom Server ausgewertet wird. Dadurch kann er aus der Ferne und ohne vorherige Anmeldung beliebige Befehle auf dem Server ausführen, der die betroffene Anwendung betreibt. In der Praxis wurde der Angriff vor allem über einen präparierten Content-Type-Header durchgeführt, der einen Befehlsbestandteil enthielt. Betroffen sind alle Webanwendungen, die auf dem verwundbaren Struts-Framework aufsetzen und Datei-Uploads über diesen Parser verarbeiten. Da der Angriff einfach und ohne Zugangsdaten möglich ist, eignet sich die Lücke besonders für eine schnelle, automatisierte Massenausnutzung.