CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/01/2012

Vulnerabilidad en "ParameterInterceptor" de Apache Struts

Meder Kydyraliev ha informado de una vulnerabilidad en Apache Struts que podría ser aprovechada por gente maliciosa para saltarse determinadas restricciones de seguridad.

Riesgo: Alto

Meder Kydyraliev ha informado de una vulnerabilidad en Apache Struts que podría ser aprovechada por gente maliciosa para saltarse determinadas restricciones de seguridad.

La vulnerabilidad está causada debido a un error en la clase "ParameterInterceptor", que podría ser aprovechada para modificar objetos en la parte del servidor y, por ejemplo, ejecutar comandos arbitrarios a través de expresiones OGNL (Object-Graph Navigation Language) especialmente construidas.

Está relacionada con la vulnerabilidad número 1 en:
SA32497

La vulnerabilidad está reportada en versiones anteriores a 2.3.1.2.

Sistemas Afectados:

Apache Struts 2.x

Referencias:

CVE-2011-3923

Solución:

Actualizar a la versión 2.3.1.2.

Notas:

Apache:
http://struts.apache.org/2.x/docs/s2-009.html

Meder Kydyraliev:
http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html 

Fuente: Secunia Advisories

CSIRT-CV