Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/05/2013
S’ha informat d’una vulnerabilitat en Apache Struts, que podria ser aprofitada per atacants maliciosos per a transgredir determinades restriccions de seguretat.
La vulnerabilitat es deu a un error en la classe "ParameterInterceptor", que podria ser aprofitada per a modificar objectes en la part del servidor i, per exemple, executar ordes arbitràries a través d’OGNL (Object-Graph Navigation Language) creats especialment per a això.
Està relacionat amb la vulnerabilitat número 1 en:
SA32497
La vulnerabilitat afecta versions anteriors a 2.3.14.1.
Sistemes Afectats:Apache Struts 2.x
Referències:None
Solució:Actualitzar a la versió 2.3.14.1.
Notes:Apache:
http://struts.apache.org/development/2.x/docs/s2-012.html
http://struts.apache.org/development/2.x/docs/s2-013.html