CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/01/2012

Vulnerabilitat en "ParameterInterceptor" d'Apache Struts

Meder Kydyraliev ha informat d’una vulnerabilitat en Apache Struts que podria ser aprofitada per gent maliciosa per a botar-se determinades restriccions de seguretat.

Risc: Alt

Meder Kydyraliev ha informat d’una vulnerabilitat en Apache Struts que podria ser aprofitada per gent maliciosa per a botar-se determinades restriccions de seguretat.

La vulnerabilitat està causada per un error en la classe "ParameterInterceptor", i podria ser aprofitada per a modificar objectes en la part del servidor i, per exemple, executar ordres arbitràries a través d’expressions OGNL (Object-Graph Navigation Language) especialment construïdes.

Està relacionada amb la vulnerabilitat número 1 en:
SA32497

La vulnerabilitat està reportada en versions anteriors a 2.3.1.2.

Sistemes Afectats:

Apache Struts 2.x

Referències:

CVE-2011-3923

Solució:

Actualitzar a la versió 2.3.1.2.

Notes:

Apache:
http://struts.apache.org/2.x/docs/s2-009.html

Meder Kydyraliev:
http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html 

Font: Secunia Advisories

CSIRT-CV