Struts

Die Schwachstelle steckt im REST-Plugin von Apache Struts, einem Framework zur Entwicklung von Java-Webanwendungen. Das Plugin verarbeitet eingehende Daten, indem es XML-Inhalte mithilfe der Bibliothek XStream wieder in Programmobjekte umwandelt (Deserialisierung) – allerdings ohne jede Filterung der dabei erzeugten Objekttypen. Dadurch kann ein Angreifer eine präparierte XML-Nachricht an die Anwendung schicken und das Framework dazu bringen, beliebige Objekte zu erzeugen und schädlichen Code auszuführen. Im Ergebnis lässt sich aus der Ferne fremder Code auf dem Server ausführen, ohne dass eine Anmeldung nötig ist. Betroffen sind Webanwendungen, die das REST-Plugin von Struts einsetzen; sie nehmen über das Netz erreichbare Schnittstellen entgegen, was den Angriffsweg unmittelbar öffnet. Da der Defekt direkt in der Verarbeitung empfangener Daten liegt, genügt bereits das Zusenden einer manipulierten Anfrage, um die Kontrolle über den Server zu erlangen.