Apache ha confirmado que un problema solucionado de forma incompleta en el proyecto Apache Struts podría seguir aprovechándose para ejecutar código remoto en el servidor.
Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache SoftwareFoundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada.
Con la versión Struts 2.3.16.1, se solucionó, aparentemente, un problema (con CVE-2014-0094) que permitía la manipulación de ClassLoader a través de parámetros. Sin embargo la corrección fue insuficiente. Se ha confirmado que un usuario remoto puede proporcionar ciertos valores específicos del parámetro ‘class‘, que van hacia la clase ParametersInterceptor, para de esta forma evadir el filtrado y proporcionar al cargador de clases ClassLoader una clase arbitraría y ejecutar código arbitrario a través de sus métodos.
Apache está trabajando en un parche para solucionar este nuevo problema, por el momento ha publicado las posibles contramedidas a aplicar para evitar posibles ataques. Disponibles en:
Se espera que la solución definitiva esté disponible en los próximos dos días.
Más información:
24 April 2014 – Struts up to 2.3.16.1: Zero-Day Exploit Mitigation
Antonio Ropero
Twitter: @aropero
Deja un comentario