Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/05/2013

Salto de restricciones en Apache Struts

Se ha informado de una vulnerabilidad en Apache Struts, que podría ser aprovechada por atacantes maliciosos para saltarse determinadas restricciones de seguridad.

Se ha informado de una vulnerabilidad en Apache Struts, que podría ser aprovechada por atacantes maliciosos para saltarse determinadas restricciones de seguridad.

La vulnerabilidad se debe a un error en la clase "ParameterInterceptor", que podría ser aprovechada para modificar objetos en la parte del servidor y, por ejemplo, ejecutar órdenes arbitrarias a través de OGNL (Object-Graph Navigation Language) creados especialmente para ello.

Está relacionado con la vulnerabilidad nº 1 en:
SA32497

La vulnerabilidad afecta a versiones anteriores a 2.3.14.1.

Sistemas Afectados:

Apache Struts 2.x 

Referencias:

None

Solución:

Actualizar a la versión 2.3.14.1.

Notas:

Apache:
http://struts.apache.org/development/2.x/docs/s2-012.html
http://struts.apache.org/development/2.x/docs/s2-013.html

CSIRT-CV