Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Fecha de publicación:

09/12/2020

Importancia:

4 - Alta

Recursos afectados:

Struts, versiones desde la 2.0.0 hasta la 2.5.25.

Descripción:

Los investigadores, Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab, han informado de una vulnerabilidad, de severidad alta, de tipo ejecución remota de código.

Solución:

Evitar usar la evaluación OGNL (Object Graph Navigation Language) forzada y actualizar a la versión 2.5.26 o superior.

Detalle:

La evaluación forzada de OGNL de los valores de entrada de un usuario que no es de confianza podría provocar una ejecución remota de código (RCE). Se ha asignado el identificador CVE-2020-17530 para esta vulnerabilidad.

Referencias:

S2-061

Etiquetas:

Accesos corporativos

Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Múltiples vulnerabilidades en productos de Intel

Vulnerabilidad en Citrix Hypervisor

Actualización de seguridad de SAP de agosto de 2022

Múltiples vulnerabilidades en VMware vRealize Operations

Actualizaciones de seguridad de Microsoft de agosto de 2022