Apache ha publicado un aviso de seguridad advirtiendo sobre una falla de seguridad crítica en el marco de la aplicación web de código abierto Struts 2 que podría resultar en la ejecución remota de código.
Seguimiento como CVE-2023-50164la vulnerabilidad es arraigado en una “lógica de carga de archivos” defectuosa que podría permitir el recorrido de rutas no autorizadas y podría explotarse, dadas las circunstancias, para cargar un archivo malicioso y lograr la ejecución de código arbitrario.
Struts es un marco de Java que utiliza Model-View-Controller (mvc) arquitectura para crear aplicaciones web orientadas a la empresa.
A Steven Seeley de Source Incite se le atribuye el mérito de descubrir e informar la falla, que afecta las siguientes versiones del software:
- Puntales 2.3.37 (EOL)
- Puntales 2.5.0 – Puntales 2.5.32 y
- Puntales 6.0.0 – Puntales 6.3.0
Los parches para el error están disponibles en las versiones 2.5.33 y 6.3.0.2 o superiores. No existen soluciones alternativas que solucionen el problema.
“Se recomienda encarecidamente a todos los desarrolladores que realicen esta actualización”, afirman los responsables del proyecto. dicho en un aviso publicado la semana pasada. “Este es un reemplazo directo y la actualización debería ser sencilla”.
Si bien no hay evidencia de que la vulnerabilidad esté siendo explotada maliciosamente en ataques del mundo real, una falla de seguridad previa en el software (CVE-2017-5638puntuación CVSS: 10,0) fue utilizado como arma por actores de amenazas para violar la agencia de informes crediticios del consumidor Equifax en 2017.