Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/01/2012
Meder Kydyraliev ha informat d’una vulnerabilitat en Apache Struts que podria ser aprofitada per gent maliciosa per a botar-se determinades restriccions de seguretat.
La vulnerabilitat està causada per un error en la classe "ParameterInterceptor", i podria ser aprofitada per a modificar objectes en la part del servidor i, per exemple, executar ordres arbitràries a través d’expressions OGNL (Object-Graph Navigation Language) especialment construïdes.
Està relacionada amb la vulnerabilitat número 1 en:
SA32497
La vulnerabilitat està reportada en versions anteriors a 2.3.1.2.
Sistemes Afectats:Apache Struts 2.x
Referències:CVE-2011-3923
Solució:Actualitzar a la versió 2.3.1.2.
Notes:Apache:
http://struts.apache.org/2.x/docs/s2-009.html
Meder Kydyraliev:
http://blog.o0o.nu/2012/01/cve-2011-3923-yet-another-struts2.html