Apache Software Foundation está instando a los usuarios que ejecutan Apache Struts 2.3.x a actualizar la biblioteca Commons FileUpload para solucionar una vulnerabilidad grave que podría ser explotada por ataques de ejecución remota de código (RCE).

Apache Struts 2 es un framework de aplicaciones web de código abierto ampliamente utilizado para desarrollar aplicaciones web Java EE. La biblioteca Commons FileUpload se usa para subir archivos a servlets y aplicaciones web.

La vulnerabilidad (CVE-2016-1000031) está presente en las versiones de Commons FileUpload anteriores a 1.3.3, y surgió debido a la inclusión de un objeto Java que se puede manipular para escribir o copiar archivos en el disco en ubicaciones arbitrarias.

La vulnerabilidad está presente en Apache Struts 2.3.x porque usa la versión vulnerable de la biblioteca (v1.3.2). "La biblioteca actualizada commons-fileupload es un reemplazo directo para la versión vulnerable. Las aplicaciones implementadas se pueden reforzar al reemplazar el archivo JAR commons-fileupload en WEB-INF/lib". El reemplazo debe hacerse manualmente. Y aquellos que ejecutan proyectos Struts basados ​​en Maven deben agregar una dependencia específica.

Johannes Ullrich, Decano de Investigación en el Instituto de Tecnología SANS, también aconsejó a los usuarios afectados que verifiquen si tienen otras copias de la biblioteca vulnerable en sus sistemas. "Struts no es el único que lo usa, y otros también pueden haber olvidado actualizarlo".

Los que ejecutan Struts 2.5.x no se ven afectados porque incluye la versión parcheada de la biblioteca.

Los puntos críticos de Struts 2 deben repararse lo antes posible, para que no sean explotados y tengan consecuencias catastróficas. Por ejemplo, la violación masiva de Equifax fue el resultado de una falla de Apache Struts 2 y prácticas de parches laxas.

Fuente: HelpSecurity