CVE

Vulnerabilidad en El Plugin REST en Apache (CVE-2017-9805)

Severidad:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
15/09/2017
Última modificación:
12/08/2019

Descripción

El Plugin REST en Apache Struts versiones 2.1.1 hasta 2.3.x anteriores a 2.3.34 y versiones 2.5.x anteriores a 2.5.13, usa una XStreamHandler con una instancia de XStream para deserialización sin ningún filtrado de tipos, lo que puede conllevar a una ejecución de código remota cuando se deserializan cargas XML.

Productos y versiones vulnerables

  • cpe:2.3:a:apache:struts:2.3.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.28:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:struts:2.3.15:*:*:*:*:*:*:*