Vulnerabilidad en Apache Struts (CVE-2023-50164)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/12/2023
Última modificación:
13/02/2025
Descripción
Un atacante puede manipular los parámetros de carga de archivos para permitir path traversal y, en algunas circunstancias, esto puede provocar la carga de un archivo malicioso que puede usarse para realizar la ejecución remota de código. Se recomienda a los usuarios actualizar a las versiones Struts 2.5.33 o Struts 6.3.0.1 o superior para solucionar este problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.5.33 (excluyendo) |
| cpe:2.3:a:apache:struts:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.3.0.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/176157/Struts-S2-066-File-Upload-Remote-Code-Execution.html
- https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
- https://security.netapp.com/advisory/ntap-20231214-0010/
- https://www.openwall.com/lists/oss-security/2023/12/07/1
- http://packetstormsecurity.com/files/176157/Struts-S2-066-File-Upload-Remote-Code-Execution.html
- https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
- https://security.netapp.com/advisory/ntap-20231214-0010/
- https://www.openwall.com/lists/oss-security/2023/12/07/1