Nueva versión de Apache Struts resuelve vulnerabilidad CSRF

Fecha de publicación:

09/12/2014

Importancia:

3 - Media

Recursos afectados:

Las versiones 2.0.0 a 2.3.16.3 de Apache Struts.

Descripción:

Apache ha publicado una nueva versión del producto Struts. En ella, se resuelve una vulnerabilidad que podría afectar a la integridad de los servicios proporcionados a través de la plataforma.

Solución:

Actualizar a la versión 2.3.20 de Apache Struts.

Detalle:

Apache Struts es un framework para el desarrollo de aplicaciones web Java Enterprise Edition.

En la versión 2.3.20 de la plataforma se resuelve una vulnerabilidad que podría permitir llevar a cabo ataques de tipo CSRF sobre usuarios autenticados, debido a que los tokens utilizados para proteger el envío de formularios son predecibles. Se ha reservado el identificador CVE-2014-7809 para esta vulnerabilidad.

Referencias:

7 December 2014 - Struts 2.3.20 General Availability with Security Fix Release

Apache Struts: S2-023

VulDB: Apache Struts hasta 2.3.16.3 Random Number Generator cross site request forgery

Etiquetas:

Actualización

Apache

Vulnerabilidad

Accesos corporativos

Nueva versión de Apache Struts resuelve vulnerabilidad CSRF

Vulnerabilidad de contraseña embebida en Dell EMC Data Protection Advisor

Vulnerabilidad en Log Analysis de IBM

Desbordamientos de lectura y escritura en SolarWinds Dameware

Ejecución de comandos como root en IBM Spectrum Scale

Vulnerabilidad en dispositivos DrayTek