Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/01/2012
Meder Kydyraliev ha informado de una vulnerabilidad en Apache Struts que podría ser aprovechada por gente maliciosa para saltarse determinadas restricciones de seguridad.
La vulnerabilidad está causada debido a un error en la clase "ParameterInterceptor", que podría ser aprovechada para modificar objetos en la parte del servidor y, por ejemplo, ejecutar comandos arbitrarios a través de expresiones OGNL (Object-Graph Navigation Language) especialmente construidas.
Está relacionada con la vulnerabilidad número 1 en:
SA32497
La vulnerabilidad está reportada en versiones anteriores a 2.3.1.2.
Sistemas Afectados:Apache Struts 2.x
Referencias:CVE-2011-3923
Solución:Actualizar a la versión 2.3.1.2.
Notas:Apache:
http://struts.apache.org/2.x/docs/s2-009.html
Meder Kydyraliev:
http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html