Vulnérabilité dans Apache Struts 2 - Le framework Web Java
Date de publication :
CVE-2020-17530[Score CVSS v3 : 9.8] : Une vulnérabilité a été corrigée au sein d'Apache Struts 2. Elle est due au fait que certains des attributs peuvent effectuer une double évaluation si un développeur appliquait une évaluation forcée OGNL en utilisant la syntaxe %{...}. Un attaquant distant et non-authentifié peut potentiellement exploiter l'utilisation d'une évaluation OGNL forcée sur une entrée utilisateur non fiable afin d'injecter du code arbitraire.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Injection de code arbitraire
Criticité
Score CVSS v3 : 9.8
Existence d’un code d’exploitation
Il n’existe pas de code d’exploitation connu publiquement à ce jour
Composants vulnérables
Toutes les versions d’Apache Struts de la version 2.0.0 à la version 2.5.25 sont vulnérables.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Apache Struts vers la version 2.5.26 ou supérieure.
Solution de contournement
Il est conseillé de ne pas utiliser d’évaluation OGNL forcée ou, à défaut, ne pas l’utiliser sur des entrées utilisateur non-sûres.