Apache, Struts 2 açık kaynaklı web uygulaması çerçevesinde uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik kusuruna ilişkin bir güvenlik danışma belgesi uyarısı yayınladı.
Şu şekilde izlendi: CVE-2023-50164güvenlik açığının kökü, izinsiz yol geçişini mümkün kılabilecek ve bu koşullar altında kötü amaçlı bir dosya yüklemek ve rastgele kodun yürütülmesini sağlamak için istismar edilebilecek hatalı bir “dosya yükleme mantığından” kaynaklanmaktadır.
Struts, kurumsal odaklı web uygulamaları oluşturmak için Model-View-Controller (MVC) mimarisini kullanan bir Java çerçevesidir.
Source Incite’den Steven Seeley, yazılımın aşağıdaki sürümlerini etkileyen kusuru keşfetme ve raporlama konusunda itibar kazanmıştır:
- Destekler 2.3.37 (EOL)
- Dikmeler 2.5.0 – Dikmeler 2.5.32 ve
- Dikmeler 6.0.0 – Dikmeler 6.3.0
Hataya yönelik yamalar 2.5.33 ve 6.3.0.2 veya üzeri sürümlerde mevcuttur. Sorunu giderecek herhangi bir geçici çözüm yoktur.
Proje yöneticileri geçen hafta yayınlanan bir danışma belgesinde “Tüm geliştiricilerin bu yükseltmeyi gerçekleştirmeleri şiddetle tavsiye edilir” dedi. “Bu, anında değiştirme işlemidir ve yükseltmenin basit olması gerekir.”
Güvenlik açığının gerçek dünyadaki saldırılarda kötü niyetli olarak kullanıldığına dair bir kanıt olmasa da, yazılımdaki daha önceki bir güvenlik kusuru (CVE-2017-5638, CVSS puanı: 10.0), tüketici kredisi raporlama ajansı Equifax’ı ihlal etmek için tehdit aktörleri tarafından silah olarak kullanıldı. 2017.