Hace una semana, los desarrolladores de Apache Struts liberaron una importante corrección de seguridad que fue seguida por otra falla altamente crítica para el entorno del desarrollo web. La vulnerabilidad corregida es una combinación de dos problemas.
Este entorno permite trabajar con mapeo de acciones (action mapping) basados en wildcards, y en el momento que una petición no coincide con una acción (porque no ha sido definida), el marco intenta cargar un archivo JSP basado en el nombre de la acción. Ese nombre puede ser tratado como una expresión OGNL (Object-Graph Navigation Language, lenguaje de expresiones de código abierto para Java) y a su vez permitiría a un atacante ejecutar código Java del lado del servidor.
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT