Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad remota en Apache Struts

Vulnerabilidad remota en Apache Struts

Por Deja un comentario

Se ha anunciado una vulnerabilidad en Apache Struts que podría permitir a un atacante remoto ejecutar comandos arbitrarios en los sistemas afectados.
Struts es una herramienta gratuita de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.
La vulnerabilidad reside en un fallo en la limpieza de limpieza de entradas, que puede permitir a un atacante remoto inyectar y ejecutar expresiones OGNL si se produce un error de conversión.
Se recomienda actualizar a Apache Struts 2.2.3.1 disponible desde:
http://struts.apache.org/download.cgi#struts2231
Más información:
Version Notes 2.2.3.1
http://struts.apache.org/2.2.3.1/docs/version-notes-2231.html
Vulnerability: User input is evaluated as an OGNL expression when there’s a conversion error
https://issues.apache.org/jira/browse/WW-3668
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6985 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.