Apache Struts: Ejecución remota de comandos (RCE)
Apache lanza una actualización de seguridad que corrige una vulnerabilidad que permitiría a un atacante ejecutar comandos en forma remota. (CVE-2020-17530)
Producto afectado: Apache Struts, versión 2.5.30.
Se puede realizar una doble evaluación si el desarrollador fuerza una evaluación Object Graph Navigation Library (OGNL) usando la sintaxis: “ %{. . .} ”. Hacer una evaluación OGNL forzada en las entradas de usuarios puede habilitar ejecución remota de comandos.
Recomendaciones
Se recomienda:
- Evitar el uso de evaluaciones forzadas en las entradas de usuarios.
- Actualizar a la brevedad Apache Struts a la versión 2.5.30 y/o posteriores, con la misma se verifica que no haya doble evaluación de la entrada.