Apache, Struts 2 açık kaynaklı web uygulaması çerçevesinde uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik kusuruna ilişkin bir güvenlik danışma belgesi uyarısı yayınladı.
Şu şekilde izlendi: CVE-2023-50164güvenlik açığı köklü Yetkisiz yol geçişini mümkün kılabilecek ve bu koşullar altında kötü amaçlı bir dosya yüklemek ve rastgele kod yürütülmesini sağlamak için istismar edilebilecek kusurlu bir “dosya yükleme mantığında”.
Struts, Model-View-Controller’ı kullanan bir Java çerçevesidir (MVC) kurumsal odaklı web uygulamaları oluşturmaya yönelik mimari.
Source Incite’den Steven Seeley, yazılımın aşağıdaki sürümlerini etkileyen kusuru keşfetme ve raporlama konusunda itibar kazanmıştır:
- Destekler 2.3.37 (EOL)
- Dikmeler 2.5.0 – Dikmeler 2.5.32 ve
- Dikmeler 6.0.0 – Dikmeler 6.3.0
Hataya yönelik yamalar 2.5.33 ve 6.3.0.2 veya üzeri sürümlerde mevcuttur. Sorunu giderecek herhangi bir geçici çözüm yoktur.
Proje sorumluları, “Tüm geliştiricilerin bu yükseltmeyi gerçekleştirmeleri şiddetle tavsiye edilir” dedi söz konusu geçen hafta yayınlanan bir tavsiye niteliğinde. “Bu, anında değiştirme işlemidir ve yükseltmenin basit olması gerekir.”
Bu güvenlik açığının gerçek dünyadaki saldırılarda kötü niyetli olarak kullanıldığına dair bir kanıt bulunmamakla birlikte, yazılımda daha önce meydana gelen bir güvenlik kusuru (CVE-2017-5638CVSS puanı: 10,0), 2017 yılında tüketici kredisi raporlama ajansı Equifax’ı ihlal etmek için tehdit aktörleri tarafından silah olarak kullanıldı.
