domingo, 11 de diciembre de 2011

Vulnerabilidad remota en Apache Struts

Se ha anunciado una vulnerabilidad en Apache Struts que podría permitir a un atacante remoto ejecutar comandos arbitrarios en los sistemas afectados.

Struts es una herramienta gratuita de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.

La vulnerabilidad reside en un fallo en la limpieza de limpieza de entradas, que puede permitir a un atacante remoto inyectar y ejecutar expresiones OGNL si se produce un error de conversión.

Se recomienda actualizar a Apache Struts 2.2.3.1 disponible desde:

Más información:

Version Notes 2.2.3.1

Vulnerability: User input is evaluated as an OGNL expression when there's a conversion error


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada