← volver
CVE-2012-0391

CVE-2012-0391

CVSS 9.8 CRITICALEPSS 75.1%● KEVCWE-94
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 75.1%KEV simPoC públicaPatch
Ciclo de vida
06 ene 2012PoC pública
08 ene 2012Publicada en NVD
21 ene 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Apache Struts interpreta incorrectamente entradas del usuario como código durante el manejo de errores, permitiendo que atacantes ejecuten comandos Java arbitrarios en el servidor. Es una vulnerabilidad crítica que puede comprometer completamente el sistema afectado.

Detalle técnico

El componente ExceptionDelegator en Apache Struts anterior a 2.2.3.1 evalúa valores de parámetros como expresiones OGNL durante el manejo de excepciones provocadas por desajustes de tipos, permitiendo ejecución remota de código sin autenticación. Un atacante puede craftar parámetros que exploten esta evaluación del lenguaje de expresión para ejecutar código Java arbitrario con privilegios del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.
The ExceptionDelegator component in Apache Struts before 2.2.3.1 interprets parameter values as OGNL expressions during certain exception handling for mismatched data types of properties, which allows remote attackers to execute arbitrary Java code via a crafted parameter.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas3
cve_referencewww.exploit-db.com/exploits/18329no verificadoexploitdbwww.exploit-db.com/exploits/18984no verificadoexploitdbwww.exploit-db.com/exploits/18329no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://archives.neohapsis.com/archives/bugtraq/2012-01/0031.htmlhttp://secunia.com/advisories/47393https://issues.apache.org/jira/browse/WW-3668http://struts.apache.org/2.x/docs/s2-008.htmlhttp://struts.apache.org/2.x/docs/version-notes-2311.htmlhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2012-0391https://www.sec-consult.com/files/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txthttp://www.exploit-db.com/exploits/18329