Os desenvolvedores do web framework Java Apache Struts 2, lançaram a versão 2.3.1.2. O lançamento veio com a intenção de fechar uma falha crítica em versões do Struts 2.0.0 até 2.3.1.1, que permitia a execução de comandos remotos. A vulnerabilidade fazia com que fosse possível ocorrer uma proteção em torno do OGNL, uma linguagem de expressão utilizada para obter e definir propriedades de objetos Java, para que expressões arbitrárias pudessem ser avaliadas.
Um exemplo dado no alerta, mostra como um invasor pode acionar o método java.lang.Runtime.getRuntime().exec() para executar um comando arbitrário, caso uma ação vulnerável tenha existido. Esta não é a primeira vez que OGNL apresenta problemas: em 2008 e 2010, problemas semelhantes permitiram a manipulação não autorizada e execução de classes Java.
Saiba Mais:
[1] Wiki Apache https://cwiki.apache.org/confluence/display/WW/S2-009
[2] Struts http://struts.apache.org/2.x/docs/ve...otes-2312.html