Struts es una herramienta gratuita de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.
La vulnerabilidad reside en un fallo en la limpieza de limpieza de entradas, que puede permitir a un atacante remoto inyectar y ejecutar expresiones OGNL si se produce un error de conversión.
Se recomienda actualizar a Apache Struts 2.2.3.1 disponible desde:
http://struts.apache.org/download.cgi#struts2231
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2011/12/vulnerabilidad-remota-en-apache-struts.html#comments
Más información:
Version Notes 2.2.3.1
http://struts.apache.org/2.2.3.1/docs/version-notes-2231.html
Vulnerability: User input is evaluated as an OGNL expression when there's a conversion error
https://issues.apache.org/jira/browse/WW-3668
Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
