Nova vulnerabilidade crítica de RCE descoberta no Apache Struts 2 – Atualize agora

RCE descoberta no Apache Struts 2

O Apache lançou um alerta de segurança sobre uma falha crítica de segurança na estrutura de aplicativos da web de código aberto Struts 2 que pode resultar na execução remota de código.

Rastreada como CVE-2023-50164 , a vulnerabilidade está enraizada em uma “lógica de upload de arquivo” falha que pode permitir a passagem de caminho não autorizada e pode ser explorada sob as circunstâncias para carregar um arquivo malicioso e conseguir a execução de código arbitrário.

Struts é uma estrutura Java que usa a arquitetura Model-View-Controller ( MVC ) para construir aplicações web orientadas para empresas.

Steven Seeley, da Source Incite, foi creditado por descobrir e relatar a falha, que afeta as seguintes versões do software –

• Suportes 2.3.37 (EOL)
• Suportes 2.5.0 – Suportes 2.5.32 e
• Suportes 6.0.0 – Suportes 6.3.0

Patches para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superiores. Não há soluções alternativas que corrijam o problema.

“Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização”, disseram os mantenedores do projeto em um comunicado publicado na semana passada. “Esta é uma substituição imediata e a atualização deve ser direta.”

Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques do mundo real, uma falha de segurança anterior no software ( CVE-2017-5638 , pontuação CVSS: 10,0) foi transformada em arma por agentes de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.