Apache ha
publicado una nueva versión del producto Struts. En ella, se resuelve una
vulnerabilidad que podría afectar a la integridad de los servicios
proporcionados a través de la plataforma. Dicha vulnerabilidad de ha catalogado
de Importancia: 3 - Media
Apache Struts es
un framework para el desarrollo de aplicaciones web Java Enterprise Edition.
Recursos
afectados
- Las
versiones 2.0.0 a 2.3.16.3 de Apache Struts.
Detalle
e Impacto de las vulnerabilidad
- En la versión 2.3.20 de la plataforma
se resuelve una vulnerabilidad que podría permitir llevar a cabo ataques
de tipo CSRF sobre usuarios autenticados, debido a que los tokens
utilizados para proteger el envío de formularios son predecibles. Se ha
reservado el identificador CVE-2014-7809 para esta vulnerabilidad.
Recomendación
- Actualizar
a la versión 2.3.20 de Apache Struts.
Más información
- 7 December 2014 - Struts 2.3.20 General
Availability with Security Fix Release
http://struts.apache.org/announce.html
- Apache Struts: S2-023 http://struts.apache.org/docs/s2-023.htm
- VulDB: Apache Struts hasta 2.3.16.3 Random Number
Generator cross site request forgery http://www.scip.ch/es/?vuldb.68357