Vulnerabilidad en la evaluación OGNL en los atributos de la etiqueta en Apache Struts (CVE-2019-0230)
Severidad:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/09/2020
Última modificación:
02/12/2022
Descripción
Apache Struts versiones 2.0.0 hasta 2.5.20, forzó una evaluación OGNL doble, cuando se evaluaba en la entrada del usuario sin procesar en los atributos de la etiqueta, puede conllevar a una ejecución de código remota
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
Pendiente de análisis
Productos y versiones vulnerables
- cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:*
- cpe:2.3:a:oracle:financial_services_market_risk_measurement_and_management:8.0.6:*:*:*:*:*:*:*
- cpe:2.3:a:oracle:communications_policy_management:12.5.0:*:*:*:*:*:*:*
- cpe:2.3:a:oracle:financial_services_data_integration_hub:8.0.6:*:*:*:*:*:*:*
- cpe:2.3:a:oracle:financial_services_data_integration_hub:8.0.3:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://cwiki.apache.org/confluence/display/ww/s2-059 (Origen:MISC)
- http://packetstormsecurity.com/files/160108/Apache-Struts-2.5.20-Double-OGNL-Evaluation.html (Origen:MISC)
- https://launchpad.support.sap.com/#/notes/2982840 (Origen:MISC)
- http://packetstormsecurity.com/files/160721/Apache-Struts-2-Forced-Multi-OGNL-Evaluation.html (Origen:MISC)
- https://www.oracle.com/security-alerts/cpujan2021.html (Origen:MISC)
- https://lists.apache.org/thread.html/r90890afea72a9571d666820b2fe5942a0a5f86be406fa31da3dd0922@%3Cannounce.apache.org%3E (Origen:MLIST)
- https://lists.apache.org/thread.html/r1125f3044a0946d1e7e6f125a6170b58d413ebd4a95157e4608041c7@%3Cannounce.apache.org%3E (Origen:MLIST)
- https://www.oracle.com/security-alerts/cpuApr2021.html (Origen:MISC)
- https://www.oracle.com/security-alerts/cpuoct2021.html (Origen:MISC)