Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

23/05/2013

Salt de restriccions de seguretat a Apache Struts

S’ha informat d’una vulnerabilitat en Apache Struts, que podria ser aprofitada per atacants maliciosos per a transgredir determinades restriccions de seguretat.

S’ha informat d’una vulnerabilitat en Apache Struts, que podria ser aprofitada per atacants maliciosos per a transgredir determinades restriccions de seguretat.

La vulnerabilitat es deu a un error en la classe "ParameterInterceptor", que podria ser aprofitada per a modificar objectes en la part del servidor i, per exemple, executar ordes arbitràries a través d’OGNL (Object-Graph Navigation Language) creats especialment per a això.

Està relacionat amb la vulnerabilitat número 1 en:
SA32497

La vulnerabilitat afecta versions anteriors a 2.3.14.1.

Sistemes Afectats:

Apache Struts 2.x 

Referències:

None

Solució:

Actualitzar a la versió 2.3.14.1.

Notes:

Apache:
http://struts.apache.org/development/2.x/docs/s2-012.html
http://struts.apache.org/development/2.x/docs/s2-013.html

CSIRT-CV