Apache a publié un avis de sécurité avertissant d’une faille de sécurité critique dans le cadre d’application Web open source Struts 2 qui pourrait entraîner l’exécution de code à distance.
Suivi comme CVE-2023-50164la vulnérabilité est enraciné dans une « logique de téléchargement de fichier » défectueuse qui pourrait permettre une traversée de chemin non autorisée et pourrait être exploitée dans ces circonstances pour télécharger un fichier malveillant et réaliser l’exécution de code arbitraire.
Struts est un framework Java qui utilise le Model-View-Controller (MVC) pour créer des applications Web orientées entreprise.
Steven Seeley de Source Incite a été crédité d’avoir découvert et signalé la faille, qui affecte les versions suivantes du logiciel –
- Entretoises 2.3.37 (EOL)
- Struts 2.5.0 – Struts 2.5.32, et
- Entretoises 6.0.0 – Entretoises 6.3.0
Les correctifs pour le bug sont disponibles dans les versions 2.5.33 et 6.3.0.2 ou supérieures. Il n’existe aucune solution de contournement pour résoudre le problème.
« Il est fortement conseillé à tous les développeurs d’effectuer cette mise à niveau », déclarent les responsables du projet. dit dans un avis publié la semaine dernière. « Il s’agit d’un remplacement immédiat et la mise à niveau devrait être simple. »
Bien qu’il n’y ait aucune preuve que la vulnérabilité soit exploitée de manière malveillante lors d’attaques réelles, une faille de sécurité antérieure dans le logiciel (CVE-2017-5638score CVSS : 10,0) a été utilisé par des acteurs malveillants pour pirater l’agence d’évaluation du crédit à la consommation Equifax en 2017.