Nuevos investigadores han descubierto una falla en la ejecución remota de código en el marco de la aplicación web de código abierto Apache Struts, lo que permite a un atacante ejecutar código malicioso en el servidor.
Apache Struts es un marco de trabajo de Model-View-Control (MVC) de código abierto gratuito para desarrollar aplicaciones web escritas en Java, con soporte para REST, AJAX y JSON.
Esta vulnerabilidad (CVE-2017-9805) es un error de programación en la forma en que Struts maneja los datos de fuentes no confiables. Específicamente, el complemento REST de Struts no puede manejar cargas XML al convertir estructuras de datos (deserialización) correctamente.
Todas las versiones de Apache Struts 2008 (desde Struts 2.5 hasta Struts 2.5.23) se ven afectadas, lo que hace que las aplicaciones web del framework que usen complementos REST sean vulnerables a ataques remotos.
La vulnerabilidad en Apache Struts2 permite a los piratas informáticos ejecutar código malicioso de forma remota
Según los investigadores de LGTM, el marco Struts es utilizado por muchas organizaciones, incluidas Lockheed Martin, Vodafone, Virgin Atlantic e IRS. “Sin mencionar que la vulnerabilidad también es muy fácil de usar, todo lo que necesita es un navegador web”, dijo Man Yue Mo, investigador de LGTM. El atacante solo necesitaría incluir el código XML malicioso en un formato separado para aprovechar esta vulnerabilidad en el servidor.
Los exploits exitosos permitirán a los piratas informáticos tomar el control de todo el servidor infectado, ingresando así a otros sistemas en la misma red.
Mo dijo que este error se debe a la conversión de estructuras de datos inseguras, Chris Frohoff y Gabriel Lawrence descubrieron vulnerabilidades similares en las colecciones de Apache Commons en 2015, lo que también permitió la ejecución de código aleatorio.
Muchas aplicaciones Java se han visto afectadas por vulnerabilidades similares en los últimos años. Esta vulnerabilidad se corrigió en Struts 2.5.13, por lo que los administradores deben actualizar los Apache Struts que están usando.
vulnerabilidades de seguridad del servidor web ejecución de código malicioso ataques al servidor
Nuevos investigadores han descubierto una falla en la ejecución remota de código en el marco de aplicación web de código abierto Apache Struts, lo que permite a un atacante ejecutar código malicioso en el servidor.
Apache Struts es un marco de trabajo de Model-View-Control (MVC) gratuito de código abierto para desarrollar aplicaciones web escritas en Java, con soporte para REST, AJAX y JSON.
Esta vulnerabilidad (CVE-2017-9805) es un error de programación en la forma en que Struts maneja los datos de fuentes no confiables. Específicamente, el complemento Struts REST no puede manejar cargas XML al convertir estructuras de datos (deserialización) correctamente.
Todas las versiones de Apache Struts 2008 (desde Struts 2.5 hasta Struts 2.5.23) se ven afectadas, lo que hace que las aplicaciones web del framework que utilizan complementos REST sean vulnerables a ataques remotos.
La vulnerabilidad en Apache Struts2 permite a los piratas informáticos ejecutar código malicioso de forma remota
Según los investigadores de LGTM, el marco Struts es utilizado por muchas organizaciones, incluidas Lockheed Martin, Vodafone, Virgin Atlantic e IRS. “Sin mencionar que la vulnerabilidad también es muy fácil de usar, todo lo que necesita es un navegador web”, dijo Man Yue Mo, investigador de LGTM. El atacante solo necesitaría incluir el código XML malicioso en un formato separado para aprovechar esta vulnerabilidad en el servidor.
Los exploits exitosos permitirán a los piratas informáticos tomar el control de todo el servidor infectado, ingresando así a otros sistemas en la misma red.
Mo dijo que este error se debe a la conversión de estructuras de datos inseguras, Chris Frohoff y Gabriel Lawrence descubrieron vulnerabilidades similares en las colecciones de Apache Commons en 2015, lo que también permitió la ejecución de código aleatorio.
Muchas aplicaciones Java se han visto afectadas por vulnerabilidades similares en los últimos años. Esta vulnerabilidad se corrigió en Struts 2.5.13, por lo que los administradores deben actualizar los Apache Struts que están usando.