Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

XWork Input Validation OGNL : Injection de Commande

04/09/2007 12H22
Référence Secunia : SA26681 
Date de publication : 2007-09-04

Risque : Elevé. Niveau 4 sur 5.
Impact : Accès au système
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
XWork 2.x

Référence CVE :
CVE-2007-4556



Description :
Une vulnérabilité a été rapportée dans XWork, qui pourrait être exploitée par des personnes malintentionnées afin de compromettre un système vulnérable.

La vulnérabilité est causée du fait d'une erreur dans le code de validation d'entrée de XWork. Cela pourrait être exploité pour exécuter OGNL (Object-Graph Navigation Language) commandes par ex. en envoyant un formulaire HTML malicieusement rempli à un serveur vulnérable.

La vulnérabilité est rapportée en versions inférieures à 2.0.4.


Solutions :
Mettre à jour en version 2.0.4.


Vulnérabilité découverte par :

Rapporté dans un bug par Andrea Vettori.

Référence :
Apache Struts advisory:
http://struts.apache.org/2.x/docs/s2-001.html

Bug report:
https://issues.apache.org/struts/browse/WW-2030




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.