CVE-2017-5638 취약점 분석 (Apache Struts2)
아파치 스트럿츠 (Apache Struts2)는 자바 기반의 웹 어플리케이션을 개발하는데 사용되는 오픈 소스 MVC(Model-View-Controller) 프레임워크이다. 2017년 3월 6일경 Nike Zheng이 아파치 스트럿츠에서 원격 코드 실행(RCE, Remote Code Execution)이 가능한 제로데이 취약점(Zero-Day)을 발견했다. 취약점 분석 결과를 요약하면 자카르타(Jakarta) 플러그인이 파일 업로드를 처리할 때 발생된다. 공격자는 HTTP 요청 헤더(Request Header)의 Content-Type 필드 값을 OGNL(Object Graph Navigation Language) 표현식으로 변조하여 요청하면 자카르타 플러그인이 예외가 발생되어 원격 코드 실행이 가능하다..