Новости CVE-2023-50164: критическая RCE-уязвимость в популярном веб-фреймворке Apache Struts 2

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Затронуты версии от 2.0.0 до 2.5.32 и от 6.0.0 до 6.3.0.1. Обновиться нужно как можно скорее.


6a7drvgepyci708gr9hgbvxtgn2dvz94.jpg


Разработчики Apache Для просмотра ссылки Войди или Зарегистрируйся исправления критической уязвимости в популярном открытом веб-фреймворке Apache Struts 2 с идентификатором Для просмотра ссылки Войди или Зарегистрируйся , которая может привести к удалённому выполнению кода ( RCE ). Обнаружение уязвимости приписывается багхантеру Стивену Сили из компании Source Incite.

CVE-2023-50164 позволяет злоумышленникам манипулировать параметрами загрузки файлов, что может привести к обходу пути и загрузке вредоносного файла, используемого для удалённого выполнения кода. Дополнительные подробности об уязвимости пока что не раскрываются.

Проблема затрагивает версии Apache Struts с 2.0.0 по 2.5.32 и с 6.0.0 по 6.3.0.1. В свою очередь, исправление интегрировано, начиная с версий 2.5.33 и 6.3.0.2.

Веб-разработчикам настоятельно рекомендуется выполнить это обновление, к тому же процесс не займёт много времени и не потребует внесения изменений в текущую конфигурацию.

Apache Struts 2 часто используются злоумышленниками для проведения атак. Это современный открытый Java -фреймворк для создания готовых к использованию в корпоративной среде веб-приложений. Его предшественник, Apache Struts 1, более не поддерживается.

В 2017 году нарушение безопасности сайта Equifax в США и Для просмотра ссылки Войди или Зарегистрируйся были вызваны как раз уязвимостью в Apache Struts 2, а также недостаточно оперативными мерами по её устранению ответственными лицами.
 
Источник новости
www.securitylab.ru

Похожие темы