A Apache lançou um aviso de segurança alertando sobre uma falha de segurança crítica no framework de aplicação web de código aberto Struts 2, que pode resultar em execução remota de código.
Rastreada como CVE-2023-50164, a vulnerabilidade está enraizada em uma "lógica de upload de arquivos" falha que pode permitir a travessia de caminho não autorizado e pode ser explorada sob as circunstâncias para fazer o upload de um arquivo malicioso e conseguir a execução de código arbitrário.
Struts é um framework Java que usa a arquitetura Model-View-Controller (MVC) para construir aplicações web voltadas para empresas.
Steven Seeley da Source Incite foi creditado pela descoberta e notificação da falha, que impacta as seguintes versões do software -
Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32, e
Struts 6.0.0 - Struts 6.3.0
Patches para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superior.
Não existem alternativas que resolvam o problema.
"Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização", disseram os mantenedores do projeto em um aviso postado na semana passada.
"Esta é uma substituição direta e a atualização deve ser simples."
Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques no mundo real, uma falha de segurança anterior no software (
CVE-2017-5638
, pontuação CVSS: 10.0) foi usada por atores de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...