• Imprimeix

Codi remot a Apache Struts

27/08/2018 13:08
a

Una vulnerabilitat a Apache Struts, el popular framework de codi lliure per webs basades en Java, permetria l’execució de codi remot. L’error sorgeix d’una insuficient validació de la informació de l’usuari al core del framework Struts, concretament en l’ús del llenguatge OGNL.

L’explotació es realitzaria a través d’una entrada maliciosa a l’aplicació afectada i afecta les versions Apache Struts de 2.3 a 2.3.32 i en les versions de 2.5 a 2.5.16, així com a les aplicacions web desenvolupades amb aquestes versions.

Diversos fabricants estan analitzant l’exposició dels seus productes a la vulnerabilitat i es preveu que publiquin actualitzacions aviat (és el cas de Cisco, per exemple). Pel que fa a exploits públics, fins ara no se n’han detectat, si bé existeix una prova de concepte.

En aquest context, els experts de seguretat recomanen l’actualització d’Struts a les versions no vulnerables. És a dir, si s’utilitza Struts 2.3 s’aconsella passar a la versió 2.3.35 o superior. Trobareu tota la informació dins del butlletí de seguretat de l’entitat.