Az Apache javította a kritkus CVE-2023-50164 hibát a Struts 2-ben

Az Apache Software Foundation az Apache Struts 2 nyílt forráskódú keretrendszerben található kritikus távoli kódfuttatási sebezhetőséget javította.

Az Apache Software Foundation biztonsági frissítéseket adott ki a Struts 2 nyílt forráskódú keretrendszerben található kritikus fájlfeltöltési sebezhetőség kezelésére. A CVE-2023-50164 néven nyomon követett hiba sikeres kihasználása távoli kódfuttatáshoz vezethet.

“Egy támadó manipulálhatja a fájlfeltöltési paramétereket, hogy lehetővé tegye az elérési utak megkerülését, és bizonyos körülmények között ez egy rosszindulatú fájl feltöltéséhez vezethet, amely távoli kódvégrehajtásra használható” – olvasható az Apache Software Foundation által közzétett közleményben.

Az alapítvány sürgeti a szervezeteket, hogy frissítsenek a Struts 2.5.33 vagy a Struts 6.3.0.2 vagy annál nagyobb verziószámú verzióra.

Az Apache nem erősítette meg, hogy a sebezhetőséget aktívan kihasználták volna támadásokban.

 

(securityaffairs.com)