Ejecución remota de código en el plugin REST de Apache Struts 2

Fecha de publicación: 
06/09/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Todas las versiones de Apache Struts2 desde 2008, desde la versión 2.5 a la 2.5.12.

Descripción: 

Se ha identificado una vulnerabilidad en REST Plugin de Apache Struts2 que puede ser utilizada por un atacante remoto para ejecutar código.

Solución: 

Esta vulnerabilidad puede estar explotándose de manera activa, por lo que se recomienda actualizar a la versión 2.5.13 de Apache Struts cuanto antes.

Detalle: 

La vulnerabilidad se produce por la manera en la que Struts deserializa información no confiable.  Dicha deserialización se realiza mediante una instancia de XStream sin ningún tipo de filtro.

Este hecho podría permitir a un atacante remoto ejecutar código arbitrario en cualquier servidor en el que se ejecute una aplicación creada con Struts framework y el plugin de comunicaciones REST.

Se ha reservado el identificador CVE-2017-9805.