Alerta de Seguridad No. 23/22: Vulnerabilidad en Apache Struts
- 13/04/2022
- 94
El investigador Chris McCown ha reportado una vulnerabilidad de ejecución remota de código (RCE) con severidad alta, cuya explotación podría permitir a un atacante tomar el control del sistema afectado.
Recursos afectados:
Struts, versiones desde la 2.0.0 hasta la 2.5.29.
Descripción:
La corrección para la vulnerabilidad CVE-2020-17530 estaba incompleta, ya que algunos atributos de la etiqueta podrían realizar una doble evaluación si un desarrollador aplicara la evaluación OGNL mediante la sintaxis %{...}, posibilitando la ejecución de código remoto. Se ha asignado el identificador CVE-2021-31805 para esta vulnerabilidad.
Recomendaciones:
Evitar el uso de la evaluación OGNL (Object Graph Navigation Language) forzada en datos de entrada de un usuario no confiable y/o actualizar a Struts 2.5.30 o versiones superiores.
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-rce-apache-struts
- https://cwiki.apache.org/confluence/display/WW/S2-062
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-31805
- https://struts.apache.org/security/#do-not-use-incoming-untrusted-user-input-in-forced-expression-evaluation