Vulnerabilidad RCE en Apache Struts
Struts, versiones desde la 2.0.0 hasta la 2.5.29.
El investigador Chris McCown ha reportado una vulnerabilidad de ejecución remota de código (RCE) con severidad alta, cuya explotación podría permitir a un atacante tomar el control del sistema afectado.
Evitar el uso de la evaluación OGNL (Object Graph Navigation Language) forzada en datos de entrada de un usuario no confiable y/o actualizar a Struts 2.5.30 o versiones superiores.
La corrección para la vulnerabilidad CVE-2020-17530 estaba incompleta, ya que algunos atributos de la etiqueta podrían realizar una doble evaluación si un desarrollador aplicara la evaluación OGNL mediante la sintaxis %{...}, posibilitando la ejecución de código remoto. Se ha asignado el identificador CVE-2021-31805 para esta vulnerabilidad.
