Nueva versión de Apache Struts resuelve vulnerabilidad CSRF

Fecha de publicación:

09/12/2014

Importancia:

3 - Media

Recursos afectados:

Las versiones 2.0.0 a 2.3.16.3 de Apache Struts.

Descripción:

Apache ha publicado una nueva versión del producto Struts. En ella, se resuelve una vulnerabilidad que podría afectar a la integridad de los servicios proporcionados a través de la plataforma.

Solución:

Actualizar a la versión 2.3.20 de Apache Struts.

Detalle:

Apache Struts es un framework para el desarrollo de aplicaciones web Java Enterprise Edition.

En la versión 2.3.20 de la plataforma se resuelve una vulnerabilidad que podría permitir llevar a cabo ataques de tipo CSRF sobre usuarios autenticados, debido a que los tokens utilizados para proteger el envío de formularios son predecibles. Se ha reservado el identificador CVE-2014-7809 para esta vulnerabilidad.

Referencias:

7 December 2014 - Struts 2.3.20 General Availability with Security Fix Release

Apache Struts: S2-023

VulDB: Apache Struts hasta 2.3.16.3 Random Number Generator cross site request forgery

Etiquetas:

Actualización

Apache

Vulnerabilidad

Accesos corporativos

Nueva versión de Apache Struts resuelve vulnerabilidad CSRF

Ejecución remota de código en DrayTek Vigor Routers

Múltiples vulnerabilidades en routers Cisco Small Business

Múltiples vulnerabilidades en productos VMware

Múltiples vulnerabilidades en routers Arris

Omisión de autenticación en Dell CloudLink