Alerta de Seguridad No. 23/22: Vulnerabilidad en Apache Struts

  • 13/04/2022
  • 94
Alerta de Seguridad No. 23/22: Vulnerabilidad en Apache Struts

El investigador Chris McCown ha reportado una vulnerabilidad de ejecución remota de código (RCE) con severidad alta, cuya explotación podría permitir a un atacante tomar el control del sistema afectado.

Recursos afectados: 

Struts, versiones desde la 2.0.0 hasta la 2.5.29.

Descripción:

La corrección para la vulnerabilidad CVE-2020-17530 estaba incompleta, ya que algunos atributos de la etiqueta podrían realizar una doble evaluación si un desarrollador aplicara la evaluación OGNL mediante la sintaxis %{...}, posibilitando la ejecución de código remoto. Se ha asignado el identificador CVE-2021-31805 para esta vulnerabilidad.

Recomendaciones:

Evitar el uso de la evaluación OGNL (Object Graph Navigation Language) forzada en datos de entrada de un usuario no confiable y/o actualizar a Struts 2.5.30 o versiones superiores.

Referencias:

  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-rce-apache-struts
  • https://cwiki.apache.org/confluence/display/WW/S2-062
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-31805
  • https://struts.apache.org/security/#do-not-use-incoming-untrusted-user-input-in-forced-expression-evaluation