Kaltetutako baliabideak:
Struts, 2.0.0 bertsiotik 2.5.29 bertsiora bitartekoak.
Azalpena:
Chris McCown ikertzaileak kodearen urruneko exekuzio (RCE) erako ahultasun baten berri eman du, larritasun altukoa. Hori baliatuz erasotzaile batek kaltetutako sistemaren kontrola har lezake.
Konponbidea:
Fidagarria ez den erabiltzaile baten sarrera datuen OGNL (Object Graph Navigation Language) ebaluazio bortxatuaren erabilpena saihestea edota Struts 2.5.30 edo goragoko bertsioetara eguneratzea.
Xehetasuna:
CVE-2020-17530 ahultasunerako zuzenketa osagabea zen, etiketaren atributu batzuek ebaluazio bikoitza egin baitzezaketen garatzaile batek OGNL ebaluazioa %{...} sintaxiarekin aplikatuko balu, horrela kodearen urruneko exekuzioa ahalbidetuz. Ahultasun horretarako CVE-2021-31805 identifikatzailea esleitu da.