📄 Description (English)
Apache Struts Remote Code Execution Vulnerability — Apache Struts Jakarta Multipart parser allows for malicious file upload using the Content-Type value, leading to remote code execution.
🤖 AI Executive Summary
CVE-2017-5638 is a critical remote code execution vulnerability in the Apache Struts Jakarta Multipart parser that allows attackers to execute arbitrary commands on the server by crafting a malicious Content-Type header in HTTP requests. This vulnerability has a CVSS score of 9.0 and has been actively exploited in the wild, most notably in the 2017 Equifax breach that compromised 147 million records. Public exploits are widely available, making this an extremely high-risk vulnerability for any organization running unpatched Apache Struts applications. Immediate patching is essential as automated exploitation tools and scripts are readily accessible to threat actors.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 8, 2026 09:19
🇸🇦 Saudi Arabia Impact Assessment
هذه الثغرة تشكل خطراً كبيراً على المؤسسات السعودية نظراً لانتشار استخدام Apache Struts في التطبيقات المصرفية والحكومية. القطاعات الأكثر تعرضاً تشمل: القطاع المصرفي (البنوك الخاضعة لرقابة ساما) التي تستخدم تطبيقات Java/Struts للخدمات المصرفية الإلكترونية، والجهات الحكومية التي تدير بوابات إلكترونية مبنية على Struts، وقطاع الطاقة (أرامكو وشركات البتروكيماويات) التي قد تستخدم تطبيقات ويب مبنية على هذا الإطار، وقطاع الاتصالات (STC وزين وموبايلي) في بوابات الخدمة الذاتية. الاستغلال الناجح قد يؤدي إلى سرقة بيانات المواطنين والعملاء وتعطيل الخدمات الحيوية.
🏢 Affected Saudi Sectors
Banking
Government
Energy
Telecommunications
Healthcare
E-commerce
Education
Transportation
⚖️ Saudi Risk Score (AI)
9.5
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all Apache Struts instances in your environment, particularly versions 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1
2. Apply the official patch immediately — upgrade to Apache Struts 2.3.32 or 2.5.10.1 or later
3. If immediate patching is not possible, implement the following compensating controls:
- Deploy WAF rules to block requests with malicious Content-Type headers containing OGNL expressions
- Filter Content-Type headers at the reverse proxy/load balancer level
- Switch to a different Multipart parser implementation (e.g., Jason Pell Multipart plugin)
DETECTION RULES:
4. Monitor web server logs for unusual Content-Type headers containing '#cmd=' or 'multipart/form-data' with OGNL expressions
5. Deploy IDS/IPS signatures for Struts2 OGNL injection patterns (Snort SID: 41818, 41819)
6. Monitor for unexpected outbound connections from web application servers
7. Check for indicators of compromise: unexpected processes, new user accounts, modified files
LONG-TERM:
8. Implement a web application firewall (WAF) with virtual patching capabilities
9. Conduct a full inventory of all Java-based web applications and their framework versions
10. Establish a vulnerability management program with SLA-based patching timelines
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع مثيلات Apache Struts في بيئتكم، خاصة الإصدارات 2.3.x قبل 2.3.32 و 2.5.x قبل 2.5.10.1
2. تطبيق التصحيح الرسمي فوراً — الترقية إلى Apache Struts 2.3.32 أو 2.5.10.1 أو أحدث
3. في حال عدم إمكانية التصحيح الفوري، تطبيق الضوابط التعويضية التالية:
- نشر قواعد جدار حماية تطبيقات الويب لحظر الطلبات ذات رؤوس Content-Type الضارة المحتوية على تعبيرات OGNL
- تصفية رؤوس Content-Type على مستوى الوكيل العكسي/موازن الأحمال
- التبديل إلى تنفيذ محلل Multipart مختلف
قواعد الكشف:
4. مراقبة سجلات خادم الويب بحثاً عن رؤوس Content-Type غير عادية تحتوي على '#cmd=' أو تعبيرات OGNL
5. نشر توقيعات IDS/IPS لأنماط حقن OGNL في Struts2
6. مراقبة الاتصالات الصادرة غير المتوقعة من خوادم تطبيقات الويب
7. التحقق من مؤشرات الاختراق: العمليات غير المتوقعة، الحسابات الجديدة، الملفات المعدلة
على المدى الطويل:
8. تنفيذ جدار حماية تطبيقات الويب مع إمكانيات التصحيح الافتراضي
9. إجراء جرد شامل لجميع تطبيقات الويب المبنية على Java وإصدارات أطرها
10. إنشاء برنامج إدارة الثغرات مع جداول زمنية للتصحيح مبنية على اتفاقيات مستوى الخدمة
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2-3-1: Vulnerability Management
ECC 2-3-4: Patch Management
ECC 2-5-1: Web Application Security
ECC 2-2-1: Asset Management
ECC 2-6-1: Threat Management
ECC 2-13-1: Cybersecurity Incident Management
🔵 SAMA CSF
SAMA CSF 3.3.3: Patch Management
SAMA CSF 3.3.4: Vulnerability Management
SAMA CSF 3.3.7: Application Security
SAMA CSF 3.4.1: Cybersecurity Event Management
SAMA CSF 3.3.11: Web Application Security
🟡 ISO 27001:2022
A.8.8: Management of technical vulnerabilities
A.8.9: Configuration management
A.8.23: Web filtering
A.8.28: Secure coding
A.5.24: Information security incident management planning and preparation
🟣 PCI DSS v4.0
PCI DSS 6.3.3: Patching critical vulnerabilities within one month
PCI DSS 6.4: Web application firewall deployment
PCI DSS 6.2: System components protected from known vulnerabilities
PCI DSS 11.3: Penetration testing
PCI DSS 10.6: Review logs and security events
🔗 References & Sources 0
No references.
📦 Affected Products / CPE 1 entries
Apache:Struts