Apache Struts 2 tiene una vulnerabilidad crítica de seguridad que está siendo objeto de ataques en Internet. Struts 2 es un marco de referencia de código abierto de aplicaciones web, típicamente utilizado para desarrollar aplicaciones web basadas en Java. Es utilizado por gran parte de organizaciones públicas y privadas en todo el mundo.
El fallo de seguridad fue corregido por Apache el pasado lunes. Se recomienda a los administradores de sistemas para que lo apliquen de inmediato. No hacerlo deja al equipo en riesgo de objetivo de ataque y ser comprometido.
La vulnerabilidad se encuentra en el analizador de partes para cargas de archivo y podría permitir la ejecución remota de código al realizar la carga de archivos basada en el analizador Jakarta Multipart. Es fácil de explotar, ya que no requiere autenticación. Un atacante podría incluir un valor en la sección “Content-Type” de una solicitud HTTP y que al ser ejecutado por el servidor web podría permitir al atacante tomar el control del servidor web vulnerable. Han sido publicados en línea dos códigos de explotación de la vulnerabilidad y que podrían trabajar en sistemas Windows y Linux.
La versión corregida es la 2.3.32 o 2.5.10.1 de Apache Structs 2. Todas las versiones anteriores son vulnerables.