TLP: White
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad liberadas.
Vector de ataque: Remoto.
Impacto: Ejecución de código remoto en el dispositivo afectado.

Descripción

El día 13 de agosto, los desarrolladores de Apache han publicado actualizaciones para corregir algunas vulnerabilidades presentes en Apache Struts 2. Los identificadores asignados a estas fallas son:

  1. CVE-2019-0230
  2. CVE-2019-0233

La primera falla, puede permitir a un usuario ejecutar código de manera remota en el dispositivo afectado y es ocasionada por un error al procesar datos del OGNL (Object-Graph Navigation Lenguage). Esta falla puede permitir que un atacante cambie o elimine datos, cree cuentas o instale algún otro programa malicioso, por ejemplo ransomware.

La segunda vulnerabilidad es ocasionada por una anulación del permiso de acceso al momento de cargar un archivo y puede permitir que un usuario realice un ataque de Denegación de Servicio (DoS).

Cabe destacar que se ha publicado en Internet una Prueba de Concepto (PoC) que aprovecha la falla CVE-2019-0230, la cual puede ser consulta en la siguiente URL:

Si bien, la vulnerabilidad no era considera como crítica, ante esta PoC, el equipo de desarrollo de Apache Struts solicita a los usuarios actualizar sus sistemas a la brevedad, además de verificar que no se hayan realizado modificaciones no autorizadas en el sistema.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

Vulnerabilidad CVE-2019-0230 y CVE-2019-0233

  • Apache Struts 2.0.0
  • Apache Struts 2.5.20

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por Apache para corregir las vulnerabilidades reportadas en esta alerta:

  • Apache Struts 2.522

Referencias