Struts es un framework de código abierto para el desarrollo de aplicaciones Web Java EE bajo el patrón de arquitectura de software Modelo-Vista-Controlador (MVC). Anteriormente se desarrollaba como parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un proyecto independiente conocido como Apache Struts.
Apache Struts2 utiliza XWork OpenSymphony y bibliotecas OGNL (Object-Graph Navigation Language). En XWork, existe por defecto el parámetro 'ParametersInterceptor' que permite hacer uso de las expresiones OGNL.
A través de OGNL se utilizan funciones Java estáticas. Esto podría ser usado por un atacante remoto para ejecutar código arbitrario a través de un valor de 'ParametersInterceptor' especialmente codificado en OGNL.
Este fallo se ha solucionado en la versión 2.3.1.2 y se le ha asignado el identificador CVE-2011-3923.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/ejecucion-remota-de-comandos-en-apache.html#comments
Más información:
Security Bulletins:
https://cwiki.apache.org/confluence/display/WW/S2-009
Fix:
http://struts.apache.org/download.cgi#struts2312
Mailing list:
http://mail-archives.apache.org/mod_mbox/struts-user/201201.mbox/%3CCANrzj0k5HZDDkJ7x%3DTVqY%2BjfCtd4FORcs7ehrfRgyp02Dg3gxQ%40mail.gmail.com%3E
Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
