Se ha identificado una vulnerabilidad crítica en el framework Apache Struts 2, identificada como CVE-2026-21827. Esta falla permite a un atacante remoto no autenticado ejecutar comandos arbitrarios en el servidor que aloja la aplicación web. El problema reside en una manipulación insegura de las etiquetas de los formularios y el procesamiento de expresiones OGNL (Object-Graph Navigation Language).
CONTENIDO
Descripción técnica
La vulnerabilidad ocurre cuando el framework procesa entradas del usuario que no han sido debidamente sanitizadas antes de ser evaluadas por el motor OGNL. Esto permite que un atacante «inyecte» código Java malicioso dentro de una solicitud HTTP común. Debido a que las aplicaciones académicas suelen estar expuestas a internet para el acceso de estudiantes, el vector de ataque es directo y no requiere privilegios previos.
- ID CVE: CVE-2026-21827.
- Componente afectado: Core de Apache Struts 2 (procesamiento de etiquetas OGNL).
- Naturaleza del fallo: inyección de expresiones OGNL.
Tipo de vulnerabilidad
- Clasificación: ejecución Remota de Código (RCE).
- Causa raíz: evaluación de expresiones OGNL insegura con datos proporcionados por el usuario.
Mecanismo de explotación
- Vector: red (Remoto / No autenticado).
- Estrategia: el atacante envía una solicitud HTTP (GET o POST) con parámetros manipulados que contienen la carga útil OGNL. Al ser procesada por el servidor de aplicaciones (como Tomcat o JBoss), la expresión se ejecuta, otorgando al atacante una shell remota.
Impacto
- Resumen de impacto: compromiso total de la confidencialidad, integridad y disponibilidad del servidor de aplicaciones.
- Severidad CVSS v3.1: 9.8 (Crítica)
- Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
- Consecuencias: acceso no autorizado a registros de calificaciones, robo de información personal (PII) de la comunidad universitaria y potencial despliegue de ransomware en servidores institucionales.
Indicadores IOCs e IOAs
- IoA (ataque en curso): logs de servidor web que muestran solicitudes con caracteres como %, {, }, ognl, o llamadas a métodos Java como java.lang.Runtime.
- IoA (uso de IA): escaneos automatizados que intentan variaciones polimórficas de la inyección OGNL para evadir reglas de WAF específicas.
- IoC (archivos): aparición de archivos .jsp sospechosos en el directorio /webapps/ del servidor.
VERSIONES AFECTADAS Y CORREGIDAS
| Framework | Versiones Afectadas | Estado de Remediación |
| Apache Struts | 2.0.0 hasta 2.5.33 / 6.0.0 hasta 6.3.0 | Actualizar a versiones 2.5.34 o 6.3.1+ |
ACCIONES
Medida de mitigación definitiva:
- Actualización urgente: las unidades de TI de las IES deben identificar todas las aplicaciones desarrolladas en Java que utilicen Struts 2 y aplicar la actualización de la librería de manera inmediata.
- Validación de dependencias: utilizar herramientas de análisis de composición de software (SCA) para detectar versiones vulnerables en desarrollos propios o de terceros.
Medida de Mitigación Temporal (Workaround):
- Reglas de WAF: implementar reglas de inspección profunda en el Web Application Firewall para bloquear solicitudes que contengan patrones de inyección OGNL.
- Aislamiento: si no es posible parchear de inmediato, restringir el acceso a la aplicación únicamente a través de la VPN institucional.
REFERENCIAS
[1] Apache Software Foundation — «S2-067: Potential RCE when using OGNL expressions».
[2] National Vulnerability Database (NIST) — «CVE-2026-21827 Detail».
[3] Trend Micro Research — «Analysis of OGNL Injection Vulnerabilities in Enterprise Java Frameworks». Disponible en: https://www.trendmicro.com/vinfo/us/security/news/