Découverte d’une vulnérabilité Critique RCE dans Apache Struts 2 – Patch Maintenant !

Identifiée sous le nom de CVE-2023-50164, la vulnérabilité trouve son origine dans une « logique de téléchargement de fichiers » défectueuse qui pourrait permettre une traversée de chemin non autorisée et pourrait être exploitée dans certaines circonstances pour télécharger un fichier malveillant et obtenir l’exécution d’un code arbitraire.

Struts est un cadre Java qui utilise l’architecture Modèle-Vue-Contrôleur (MVC) pour construire des applications web orientées entreprise. Steven Seeley de Source Incite a été crédité de la découverte et du signalement de la faille, qui affecte les versions suivantes du logiciel – Des correctifs pour le bogue sont disponibles dans les versions 2.5.33 et 6.3.0.2 ou supérieures. Il n’existe pas de solution de contournement permettant de remédier au problème. « Il est vivement conseillé à tous les développeurs d’effectuer cette mise à jour », ont déclaré les responsables du projet dans un avis publié la semaine dernière. « Il s’agit d’un remplacement direct et la mise à niveau devrait être simple.

Bien qu’il n’y ait aucune preuve que la vulnérabilité soit exploitée de manière malveillante dans des attaques réelles, une faille de sécurité antérieure dans le logiciel (CVE-2017-5638, score CVSS : 10.0) a été utilisée par des acteurs menaçants pour ouvrir une brèche dans l’agence d’évaluation du crédit à la consommation Equifax en 2017. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.