
A titre de rappel, un récent rapport de sécurité soulignait que les utilisateurs d’Apache Struts avaient tendance à utiliser des versions vulnérables du framework. Struts 2.3.15.1 avait d’ailleurs été recommandé aux utilisateurs afin de les protéger des menaces de sécurité.
Par défaut, la fonctionnalité DMI (Dynamic Method Invocation) est désactivée dans Apache Struts 2.3.15.2. Pour l’équipe de développement, celle-ci constituait une menace de sécurité réelle pour les utilisateurs de la version 2.3.15.1.
On note également que la vulnérabilité de type « Broken Access control » (qui donne la possibilité à un hacker d’avoir accès à certaines ressources alors qu’elles lui sont interdites en temps normal) qui affectait Struts 2.3.15.1 a été aussi corrigée.
Les développeurs tout comme les autres utilisateurs sont vivement appelés à installer cette mise à jour et aussi celles qui la suivront pour éviter toute forme de désagrément.

Source : Apache Struts
Et vous ?
