Vulnerabilidad de tipo ejecución remota de código en Apache Struts

Fecha de publicación 09/12/2020

Importancia

4 - Alta

Recursos Afectados

Struts, versiones desde la 2.0.0 hasta la 2.5.25.

Descripción

Los investigadores, Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab, han informado de una vulnerabilidad, de severidad alta, de tipo ejecución remota de código.

Solución

Evitar usar la evaluación OGNL (Object Graph Navigation Language) forzada y actualizar a la versión 2.5.26 o superior.

Detalle

La evaluación forzada de OGNL de los valores de entrada de un usuario que no es de confianza podría provocar una ejecución remota de código (RCE). Se ha asignado el identificador CVE-2020-17530 para esta vulnerabilidad.

Listado de referencias

S2-061

Etiquetas

Actualización
Apache
Java
Vulnerabilidad