A Apache lançou um aviso de segurança alertando sobre uma falha de segurança crítica no framework de aplicação web de código aberto Struts 2, que pode resultar em execução remota de código.
Rastreada como CVE-2023-50164, a vulnerabilidade está enraizada em uma "lógica de upload de arquivos" falha que pode permitir a travessia de caminho não autorizado e pode ser explorada sob as circunstâncias para fazer o upload de um arquivo malicioso e conseguir a execução de código arbitrário.
Struts é um framework Java que usa a arquitetura Model-View-Controller (MVC) para construir aplicações web voltadas para empresas.
Steven Seeley da Source Incite foi creditado pela descoberta e notificação da falha, que impacta as seguintes versões do software -
Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32, e
Struts 6.0.0 - Struts 6.3.0
Patches para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superior.
Não existem alternativas que resolvam o problema.
"Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização", disseram os mantenedores do projeto em um aviso postado na semana passada.
"Esta é uma substituição direta e a atualização deve ser simples."
Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques no mundo real, uma falha de segurança anterior no software (
CVE-2017-5638
, pontuação CVSS: 10.0) foi usada por atores de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...