Se han anunciado cuatro vulnerabilidades en Apache Struts (versiones 2.0.0 – 2.3.1.1), que podrían permitir a un atacante remoto ejecutar código Java.
Struts es un framework de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.
Apache Struts2 utiliza XWork OpenSymphony y bibliotecas OGNL (Object-Graph Navigation Language). En XWork, existe por defecto el parámetro ‘ParametersInterceptor‘ que permite hacer uso de las expresiones OGNL.
A través de OGNL se utilizan funciones Java estáticas. Esto podría ser usado por un atacante remoto para ejecutar código arbitrario a través de un valor de ‘ParametersInterceptor’ especialmente codificado en OGNL.
Este fallo se ha solucionado en la versión 2.3.1.2 y se le ha asignado el identificador CVE-2011-3923.
Más información:
Security Bulletins:
Fix:
Mailing list:
Víctor Antonio Torre
Deja una respuesta