You have not selected any currencies to display

Bl0ckch41nnewsDos fallas críticas en Apache Struts 2 (Parchea!)

34


Apache ha publicado un aviso de seguridad advirtiendo sobre una falla de
seguridad crítica en el marco de la aplicación web de código abierto Apache
Struts 2 que podría resultar en la ejecución remota de código.

Registrada como
CVE-2023-50164 (CVSS 9,8 sobre 10), la vulnerabilidad
tiene su origen en una «lógica de carga de archivos» defectuosa
que podría permitir un recorrido de ruta no autorizado y podría explotarse,
dadas las circunstancias, para cargar un archivo malicioso y lograr la
ejecución de código arbitrario.

Apache Struts es un marco Java que utiliza la arquitectura
Model-View-Controller (MVC) para crear aplicaciones web orientadas a empresas.

A Steven Seeley de Source Incite se le atribuye el mérito de descubrir e
informar la falla, que afecta las siguientes versiones del software:

  • Struts 2.3.37 (EOL)
  • Struts 2.5.0 a Struts 2.3.37 2.5.32 y
  • Struts 6.0.0 a Struts 6.3.0

Los parches para el error están disponibles en las versiones 2.5.33 y 6.3.0.2
o superiores. No existen soluciones alternativas que mitiguen el problema.

«Se recomienda encarecidamente a todos los desarrolladores que realicen
esta actualización»
,
dijeron los encargados del proyecto
en un aviso publicado la semana pasada.
«Este es un reemplazo directo y la actualización debería ser sencilla».

Si bien no hay evidencia de que la vulnerabilidad esté siendo explotada
maliciosamente en ataques del mundo real, los actores de amenazas utilizaron
una falla de seguridad anterior en el software (CVE-2017-5638, CVSS: 10) para
atacar
la empresa de informes crediticios del consumidor Equifax en 2017.

El 10 de diciembre, un investigador de seguridad publicó un artículo técnico para CVE-2023-50164, explicando cómo un actor de amenazas podría contaminar los parámetros de carga de archivos en los ataques. Ayer se publicó un segundo artículo, que incluye código de explotación para la falla.

n un aviso de seguridad de ayer, Cisco dice que está investigando CVE-2023-50164 para determinar cuáles de sus productos con Apache Struts pueden verse afectados y en qué medida. Una lista completa de los productos potencialmente afectados está disponible en el boletín de seguridad de Cisco, que se espera que se actualice con información nueva.

Fuente:
THN



Source link

Los comentarios están cerrados.