CVE-2012-0391
CVE-2012-0391
En resumen
Apache Struts interpreta incorrectamente entradas del usuario como código durante el manejo de errores, permitiendo que atacantes ejecuten comandos Java arbitrarios en el servidor. Es una vulnerabilidad crítica que puede comprometer completamente el sistema afectado.
Detalle técnico
El componente ExceptionDelegator en Apache Struts anterior a 2.2.3.1 evalúa valores de parámetros como expresiones OGNL durante el manejo de excepciones provocadas por desajustes de tipos, permitiendo ejecución remota de código sin autenticación. Un atacante puede craftar parámetros que exploten esta evaluación del lenguaje de expresión para ejecutar código Java arbitrario con privilegios del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
The ExceptionDelegator component in Apache Struts before 2.2.3.1 interprets parameter values as OGNL expressions during certain exception handling for mismatched data types of properties, which allows remote attackers to execute arbitrary Java code via a crafted parameter.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencewww.exploit-db.com/exploits/18329no verificadoexploitdbwww.exploit-db.com/exploits/18984no verificadoexploitdbwww.exploit-db.com/exploits/18329no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
http://archives.neohapsis.com/archives/bugtraq/2012-01/0031.htmlhttp://secunia.com/advisories/47393https://issues.apache.org/jira/browse/WW-3668http://struts.apache.org/2.x/docs/s2-008.htmlhttp://struts.apache.org/2.x/docs/version-notes-2311.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-0391https://www.sec-consult.com/files/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txthttp://www.exploit-db.com/exploits/18329