Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Fecha de publicación:

09/12/2020

Importancia:

4 - Alta

Recursos afectados:

Struts, versiones desde la 2.0.0 hasta la 2.5.25.

Descripción:

Los investigadores, Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab, han informado de una vulnerabilidad, de severidad alta, de tipo ejecución remota de código.

Solución:

Evitar usar la evaluación OGNL (Object Graph Navigation Language) forzada y actualizar a la versión 2.5.26 o superior.

Detalle:

La evaluación forzada de OGNL de los valores de entrada de un usuario que no es de confianza podría provocar una ejecución remota de código (RCE). Se ha asignado el identificador CVE-2020-17530 para esta vulnerabilidad.

Referencias:

S2-061

Etiquetas:

Accesos corporativos

Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Múltiples vulnerabilidades en productos de Netgear

Múltiples vulnerabilidades en PHP 7 y PHP 8

Control de acceso incorrecto en SonicWall SMA 100 Series

Divulgación de información en router D-LINK DIR-3040

Múltiples vulnerabilidades en productos Nagios