Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Fecha de publicación:

09/12/2020

Importancia:

4 - Alta

Recursos afectados:

Struts, versiones desde la 2.0.0 hasta la 2.5.25.

Descripción:

Los investigadores, Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab, han informado de una vulnerabilidad, de severidad alta, de tipo ejecución remota de código.

Solución:

Evitar usar la evaluación OGNL (Object Graph Navigation Language) forzada y actualizar a la versión 2.5.26 o superior.

Detalle:

La evaluación forzada de OGNL de los valores de entrada de un usuario que no es de confianza podría provocar una ejecución remota de código (RCE). Se ha asignado el identificador CVE-2020-17530 para esta vulnerabilidad.

Referencias:

S2-061

Etiquetas:

Accesos corporativos

Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Omisión de autentificación en ManageEngine Desktop Central

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Múltiples vulnerabilidades en el core de Drupal

Actualizaciones críticas en Oracle (enero 2022)

Múltiples vulnerabilidades en IBM HTTP Server