Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de código en Apache Struts

Fecha de publicación 12/12/2024
Identificador
INCIBE-2024-0608
Importancia
5 - Crítica
Recursos Afectados

Versiones de Struts:

  • desde 2.0.0 hasta 2.3.37 (EoL);
  • desde 2.5.0 hasta 2.5.33;
  • desde 6.0.0 hasta 6.3.0.2.
Descripción

Confluence ha publicado una vulnerabilidad crítica que afecta a Apache Struts y que de ser explotada podría permitir la ejecución remota de código.

Solución

Actualizar Struts a las versiones 6.4.0 o superiores y emplear Action File Upload Interceptor.

Detalle

Un atacante podría manipular los parámetros de carga de archivos para moverse de forma transversal (path traversal), lo que podría conducir a la carga de un archivo malicioso que podría ser empleado para realizar una ejecución remota de código. Se ha asignado el identificador CVE-2024-53677 para esta vulnerabilidad.