Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/12/2011
Vulnerabilidad remota en Apache Struts
Se ha anunciado una vulnerabilidad en Apache Struts que podría permitir a un atacante remoto ejecutar comandos arbitrarios en los sistemas afectados.Riesgo: Medio
Struts es una herramienta gratuita de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.
La vulnerabilidad reside en un fallo en la limpieza de limpieza de entradas, que puede permitir a un atacante remoto inyectar y ejecutar expresiones OGNL si se produce un error de conversión.
Sistemas Afectados: Apache Struts 2.2.3
Referencias:None
Solución:Se recomienda actualizar a Apache Struts 2.2.3.1 disponible desde:
Notas:
https://issues.apache.org/jira/browse/WW-3668
http://unaaldia.hispasec.com/2011/12/vulnerabilidad-remota-en-apache-struts.html
Fuente: Hispasec una-al-día