Apache Struts projesi, popüler açık kaynaklı web uygulaması çerçevesi için, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığına yönelik düzeltmeler içeren güncellemeler yayınladı (CVE-2023-50164).
CVE-2023-50164 Hakkında
CVE-2023-50164, bir saldırganın yol geçişini etkinleştirmek için dosya yükleme parametrelerini değiştirmesine izin verebilir. Bazı durumlarda bu, saldırganın uzaktan kod yürütmek için kullanılabilecek kötü amaçlı bir dosya yüklemesine olanak tanıyabilir.
Şu anda ek ayrıntı mevcut değil.
Güvenlik açığı Apache Struts 2.0.0 ila 2.5.32 ve 6.0.0 ila 6.3.0.1 sürümlerini etkilemektedir ve Apache Struts 2.5.33 ve 6.3.0.2 sürümlerinde düzeltilmiştir.
Apache Struts projesi, “Tüm geliştiricilerin bu yükseltmeyi gerçekleştirmeleri şiddetle tavsiye edilir” diye ısrar ediyor. “Bu, anında değiştirme işlemidir ve yükseltmenin basit olması gerekir.”
Bu duygu, kusuru proje yöneticilerine bildiren güvenlik araştırmacısı ve üretken hata avcısı Source Incite’den Steven Seeley tarafından da tekrarlandı.
Apache Struts 2’deki güvenlik açıkları genellikle saldırganlar tarafından kullanılıyor
Apache Struts 2, kurumsal kullanıma hazır web uygulamaları oluşturmaya yönelik modern bir açık kaynaklı Java çerçevesidir. (Selefi Apache Struts 1 artık aktif olarak geliştirilmiyor veya bakımı yapılmıyor.)
Equifax’ın ABD web sitesinin 2017’de ele geçirilmesi ve ardından gelen büyük veri ihlali, Apache Struts 2 kusurunun (ve genellikle saldırganlar tarafından istismar edilen gevşek yama uygulamalarının) sonucuydu.