Vulnerabilidad RCE en Apache Struts

Fecha de publicación 11/12/2023

Importancia

5 - Crítica

Recursos Afectados

Apache Struts, versiones:

desde 2.0.0 hasta 2.3.37 (EOL);
desde 2.5.0 hasta 2.5.32;
desde 6.0.0 hasta 6.3.0.

Descripción

Steven Seeley, investigador de Source Incite, ha reportado una vulnerabilidad crítica que afecta a varias versiones de Apache Struts, cuya explotación podría permitir la ejecución remota de código.

Solución

Actualizar a las versiones 2.5.33, 6.3.0.2 o posteriores.

Detalle

Un atacante podría modificar los parámetros de carga de archivos para habilitar el recorrido de rutas y, en algunas circunstancias, esto podría conducir a la carga de un archivo malicioso empleado para realizar una ejecución remota de código. Se ha asignado el identificador CVE-2023-50164 para esta vulnerabilidad.

Listado de referencias

S2-066: RCE Apache Struts

Etiquetas

Actualización
Apache
Vulnerabilidad
Web