TLP: Amber
NIVEL DE RIESGO CVSS v3.0 – 7.1 [Alto]
Acción Requerida: Aplicar las últimas actualizaciones liberadas por Apache a los productos afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código arbitrario.

Descripción

Se ha corregido una vulnerabilidad en Apache Struts, a la cual se le ha asignado el identificador CVE-2020-17530(CVSS v3.0: 7.1[Alto]), y permite a un atacante remoto ejecutar código arbitrario en el sistema.

El aprovechamiento exitoso de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable, enviando una solicitud especialmente diseñada a la aplicación para ejecutar código arbitrario en el sistema, lo anterior debido a que la aplicación realiza una doble evaluación del código, esto si un desarrollador aplica “OGNL” (Object-Graph Navigation Language) forzada utilizando la sintaxis “%{…}”.

Nivel de riesgo

  • CVSS v3.0: 7.1 [Alto]

Sistemas/tecnologías afectadas:

  • Apache Struts 2.0.0 al 2.5.25

Medidas de contención

A continuación, se listan las actualizaciones de seguridad liberadas por Apache para corregir la vulnerabilidad reportada en esta alerta:

  • Actualice a Apache Struts 2.5.26 o superior

Referencias