Apache lanza un parche y aviso de seguridad para Struts 2
AS-038-2022
Fecha: 13/Abr/2022
Resumen:
Apache Software Foundation, ha publicado un aviso de seguridad para abordar una vulnerabilidad en Struts en el rango de versiones 2.0.0 a 2.5.29. Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado, La vulnerabilidad ha sido registrada como CVE-2021-31805.
Recomendación.
CISA anima a los usuarios y administradores a revisar el aviso de seguridad de Apache S2-062 y actualizar a la última versión publicada.
Evite usar la evaluación forzada de OGNL en la entrada de usuario que no es de confianza y/o actualice Struts a la versión 2.5.30 o superior, la cual comprueba si la evaluación de expresiones no conducirá a la doble evaluación.
Referencias:
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/apache-releases-security-advisory-struts-2
https://cwiki.apache.org/confluence/display/WW/S2-062