Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad RCE en Apache Struts

Fecha de publicación 11/12/2023
Identificador
INCIBE-2023-0552
Importancia
5 - Crítica
Recursos Afectados

Apache Struts, versiones:

  • desde 2.0.0 hasta 2.3.37 (EOL);
  • desde 2.5.0 hasta 2.5.32;
  • desde 6.0.0 hasta 6.3.0.
Descripción

Steven Seeley, investigador de Source Incite, ha reportado una vulnerabilidad crítica que afecta a varias versiones de Apache Struts, cuya explotación podría permitir la ejecución remota de código.

Solución

Actualizar a las versiones 2.5.33, 6.3.0.2 o posteriores.

Detalle

Un atacante podría modificar los parámetros de carga de archivos para habilitar el recorrido de rutas y, en algunas circunstancias, esto podría conducir a la carga de un archivo malicioso empleado para realizar una ejecución remota de código. Se ha asignado el identificador CVE-2023-50164 para esta vulnerabilidad.

Listado de referencias
S2-066: RCE Apache Struts
Etiquetas