Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad RCE en Apache Struts

Vulnerabilidad RCE en Apache Struts

Fecha de publicación: 
13/04/2022
Importancia: 
4 - Alta
Recursos afectados: 

Struts, versiones desde la 2.0.0 hasta la 2.5.29.

Descripción: 

El investigador Chris McCown ha reportado una vulnerabilidad de ejecución remota de código (RCE) con severidad alta, cuya explotación podría permitir a un atacante tomar el control del sistema afectado.

Solución: 

Evitar el uso de la evaluación OGNL (Object Graph Navigation Language) forzada en datos de entrada de un usuario no confiable y/o actualizar a Struts 2.5.30 o versiones superiores.

Detalle: 

La corrección para la vulnerabilidad CVE-2020-17530 estaba incompleta, ya que algunos atributos de la etiqueta podrían realizar una doble evaluación si un desarrollador aplicara la evaluación OGNL mediante la sintaxis %{...}, posibilitando la ejecución de código remoto. Se ha asignado el identificador CVE-2021-31805 para esta vulnerabilidad.

Encuesta valoración