Apache Software Foundation objavila je sigurnosna ažuriranja kako bi riješila kritičnu ranjivost pri otpremanju datoteka u okviru otvorenog koda Struts 2. Uspješno iskorištavanje greške, praćene kao CVE-2023-50164, moglo bi dovesti do udaljenog izvršavanja koda.
Udaljeni napadač može manipulisati parametrima za otpremanje datoteka kako bi omogućio paths traversal koje potencijalno vodi do učitavanja zlonamjerne datoteke koja se može koristiti za izvršavanje proizvoljnog koda.
Napadač može manipulisati parametrima za otpremanje datoteka kako bi omogućio paths traversal i pod nekim okolnostima to može dovesti do učitavanja zlonamjerne datoteke koja se može koristiti za izvođenje daljinskog izvršavanja koda.” stoji u obavještenju koji je objavila Apache Software Foundation.
Fondacija poziva organizacije da nadograde na Struts 2.5.33 ili Struts 6.3.0.2 ili noviji.
Ranjivost je prijavio Steven Seeley iz Source Incite.
Apache nije potvrdio da je ranjivost aktivno iskorištavana u napadima.
Izvor: Security Affairs
