Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
16/03/2017
Confirmada una vulnerabilidad crítica en Apache Struts
La vulnerabilidad calificada como crítica permitiría ejecutar código arbitrario en los sistemas.El equipo de Cisco Talos ha alertado de la existencia de ataques aprovechado esta vulnerabilidad identificada con CVE-2017-5638. Concretamente la vulnerabilidad afecta al analizador Jakarta Multipart de Apache Struts que podría verse afectado por la ejecución remota de código, si el valor de Content-Type no es válido se generaría una excepción mostrando un mensaje de error al usuario que serviría para que el atacante pudiera modificar la cabecera Content-Header para inyectar comandos de sistema operativo en el servidor.
Puedes conocer más detalles en el siguiente enlace.
Sistemas Afectados:Versiones de Apache Struts anteriores a 2.3.32 o 2.5.10.1
Referencias:CVE-2017-5638
Solución:Actualizar a las nuevas versiones de Apache Struts disponibles en:
http://struts.apache.org/download.html#struts-ga
Más información: