Vulnerabilidad en Apache Struts (CVE-2011-5057)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
08/01/2012
Última modificación:
11/04/2025
Descripción
Apache Struts versión 2.3.1.2 y anteriores, versiones 2.3.19 hasta 2.3.23, proporciona interfaces que no restringen apropiadamente el acceso a colecciones tales como las colecciones de sesiones y peticiones, lo que podría permitir a atacantes remotos modificar los valores de datos de tiempo de ejecución por medio de un parámetro diseñado para una aplicación que implementa una interfaz afectada, como es demostrado por las interfaces de SessionAware, RequestAware, ApplicationAware, ServletRequestAware, ServletResponseAware y ParameterAware. NOTA: el proveedor cuestiona la importancia de este reporte debido a una "easy work-around in existing apps by configuring the interceptor".
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://codesecure.blogspot.com/2011/12/struts-2-session-tampering-via.html
- http://secunia.com/advisories/47109
- https://issues.apache.org/jira/browse/WW-2264
- https://issues.apache.org/jira/browse/WW-3631
- http://codesecure.blogspot.com/2011/12/struts-2-session-tampering-via.html
- http://secunia.com/advisories/47109
- https://issues.apache.org/jira/browse/WW-2264
- https://issues.apache.org/jira/browse/WW-3631