Kaltetutako baliabideak:

Struts, 2.0.0 bertsiotik 2.5.29 bertsiora bitartekoak.

Azalpena:

Chris McCown ikertzaileak kodearen urruneko exekuzio (RCE) erako ahultasun baten berri eman du, larritasun altukoa. Hori baliatuz erasotzaile batek kaltetutako sistemaren kontrola har lezake.

Konponbidea:

Fidagarria ez den erabiltzaile baten sarrera datuen OGNL (Object Graph Navigation Language) ebaluazio bortxatuaren erabilpena saihestea edota Struts 2.5.30 edo goragoko bertsioetara eguneratzea.

Xehetasuna:

CVE-2020-17530 ahultasunerako zuzenketa osagabea zen, etiketaren atributu batzuek ebaluazio bikoitza egin baitzezaketen garatzaile batek OGNL ebaluazioa %{...} sintaxiarekin aplikatuko balu, horrela kodearen urruneko exekuzioa ahalbidetuz. Ahultasun horretarako CVE-2021-31805 identifikatzailea esleitu da.