← volver
CVE-2013-2251

CVE-2013-2251

CVSS 9.8 CRITICALEPSS 100.0%● KEVCWE-74
En resumen

Apache Struts 2 versiones hasta 2.3.15 permiten que atacantes ejecuten código malicioso en el servidor enviando solicitudes especialmente preparadas. Esto ocurre porque la aplicación no valida adecuadamente la entrada del usuario antes de procesarla, poniendo en serio riesgo cualquier sitio web que use este software.

Detalle técnico

Los atacantes remotos pueden lograr ejecución arbitraria de código inyectando expresiones OGNL (Object-Graph Navigation Language) maliciosas a través de parámetros HTTP con prefijos action:, redirect: o redirectAction:. La vulnerabilidad existe debido a validación insuficiente de entrada en el procesamiento de parámetros, permitiendo explotación sin autenticación con impacto crítico en confidencialidad, integridad y disponibilidad.

Resumen generado y traducido por IA a partir de la descripción oficial.
Apache Struts 2.0.0 through 2.3.15 allows remote attackers to execute arbitrary OGNL expressions via a parameter with a crafted (1) action:, (2) redirect:, or (3) redirectAction: prefix.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas4
githubgithub.com/nth347/CVE-2013-22510cve_referencepacketstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/27135no verificadoexploitdbwww.exploit-db.com/exploits/44583no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://archiva.apache.org/security.htmlhttp://cxsecurity.com/issue/WLB-2014010087http://osvdb.org/98445http://packetstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.htmlhttp://seclists.org/fulldisclosure/2013/Oct/96http://seclists.org/oss-sec/2014/q1/89https://exchange.xforce.ibmcloud.com/vulnerabilities/90392http://struts.apache.org/release/2.3.x/docs/s2-016.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2013-2251http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2http://www.fujitsu.com/global/support/software/security/products-f/interstage-bpm-analytics-201301e.htmlhttp://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html