Een beveiligingslek in oudere versies van Apache Struts 2 maakt het mogelijk voor aanvallers om op afstand code uit te voeren, zo heeft de Apache Software Foundation bekendgemaakt. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites.

In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. Het nu gerapporteerde beveiligingslek doet zich voor bij tag-attributen die niet gecontroleerde gebruikersinvoer kunnen bevatten. Applicaties en websites die via Struts zijn ontwikkeld maken voor allerlei doeleinden gebruik van tags.

Wanneer een tag gebruikersinvoer kan bevatten is het mogelijk voor een aanvaller om een kwaadaardige OGNL (Object Graph Navigation Language)-expressie te injecteren die tot remote code execution kan leiden. Om de impact van geïnjecteerde expressies te beperken voeren de Struts-ontwikkelaars geregeld mitigaties door. In Struts versies 2.0.0 tot en met 2.5.20 is de eerder genoemde kwetsbaarheid (CVE-2019-0230) aanwezig.

Dat heeft de Apache Software Foundation gisteren aangekondigd. Het probleem is verholpen in Struts versie 2.5.22, die vorig jaar november verscheen. Bij de release van deze versie werd echter niets vermeld over de kwetsbaarheid in oudere versies en dat dit in versie 2.5.22 was verholpen. Beheerders krijgen het advies om naar deze versie te updaten mocht dat nog niet zijn gedaan.