Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/05/2013
Se ha informado de una vulnerabilidad en Apache Struts, que podría ser aprovechada por atacantes maliciosos para saltarse determinadas restricciones de seguridad.
La vulnerabilidad se debe a un error en la clase "ParameterInterceptor", que podría ser aprovechada para modificar objetos en la parte del servidor y, por ejemplo, ejecutar órdenes arbitrarias a través de OGNL (Object-Graph Navigation Language) creados especialmente para ello.
Está relacionado con la vulnerabilidad nº 1 en:
SA32497
La vulnerabilidad afecta a versiones anteriores a 2.3.14.1.
Sistemas Afectados:Apache Struts 2.x
Referencias:None
Solución:Actualizar a la versión 2.3.14.1.
Notas:Apache:
http://struts.apache.org/development/2.x/docs/s2-012.html
http://struts.apache.org/development/2.x/docs/s2-013.html