Apache Struts’taki kritik bir güvenlik açığının, yapılandırma arayüzleri gibi web uygulamaları oluşturmak için bu çerçeveyi kullanan satıcılar üzerinde geniş kapsamlı etkileri olabilir.
Uzaktan kod yürütme hatası CVE-2023-50164, dün X’te bunun için kavram kanıt kodunun mevcut olduğunu yayınlayan Source Incite’den Steven Seeley tarafından keşfedildi.
Apache’nin tavsiye belgesi, tüm Struts geliştiricilerinin ve kullanıcılarının Struts 2.5.33, 6.3.0.2 veya daha yüksek sürümlere yükseltme yapması gerektiğini belirtir.
Uyarı belgesinde, “Bir saldırgan, yolların geçişini sağlamak için dosya yükleme parametrelerini değiştirebilir ve bazı durumlarda bu, kötü amaçlı bir dosyanın yüklenmesine yol açabilir” ifadesine yer verildi.
Çerçevenin üç kolunu etkiler: 2.0.0’dan 2.3.37’ye kadar kullanım ömrü sonu sürümleri; 2,5 ila 2.5.32 ve 6.0.0 ila 6.3.0.
Ağ sağlayıcısı Cisco’nun yanıtını ilk açıklayan hatanın halihazırda aşağı yönlü etkileri var.
Geçici bir danışma belgesinde Cisco, hangi ürünlerinin etkilenebileceğini araştırdığını duyurdu.
Şu ana kadar Cisco’nun işbirliği ve sosyal medya yazılımlarında 27 ürün araştırılıyor; ağ ve içerik güvenliği cihazları; ağ yönetimi ve provizyon sistemleri; ve ses ve tümleşik iletişim cihazları.