Eine Schwachstelle im Webframework Apache Struts hat zur Folge, dass ein entfernter Angreifer Cross-Site-Scripting-Attacken durchführen kann. Damit ist er in der Lage, Script-Code im Browser seiner Opfer ausführen zu lassen. Auch kann er so an Cookie-basierte Authentifikationsdaten gelangen.
Die verantwortlichen Programmierfehler befinden sich in den Dateien “actionNames.action” und “showConfig.action”. Sie verarbeiten die Variable “namespace” nicht korrekt, wodurch ein Angreifer Schadcode in eine URL einfügen kann. Sendet er diese an sein Opfer, so werden die von ihm gewünschten Befehl ausgeführt.
Exploit-URLs könnten wie folgt aussehen:
http://Zielhost:8080/struts2-07/config-browser/actionNames.action?namespace=<script>alert(/xss/);</script>
Diese URL führt den “alert()”-Befehle im Browser des Opfers aus. Ein Angreifer kann diese Anweisung durch beliebigen Schadcode ersetzen.
Betroffen ist die Version 2.3.15.3.

