A Apache lançou um aviso de segurança alertando sobre uma falha de segurança crítica no framework de aplicação web de código aberto Struts 2, que pode resultar em execução remota de código.
Rastreada como CVE-2023-50164, a vulnerabilidade está enraizada em uma "lógica de upload de arquivos" falha que pode permitir a travessia de caminho não autorizado e pode ser explorada sob as circunstâncias para fazer o upload de um arquivo malicioso e conseguir a execução de código arbitrário.
Struts é um framework Java que usa a arquitetura Model-View-Controller (MVC) para construir aplicações web voltadas para empresas.
Steven Seeley da Source Incite foi creditado pela descoberta e notificação da falha, que impacta as seguintes versões do software -
Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32, e
Struts 6.0.0 - Struts 6.3.0
Patches para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superior.
Não existem alternativas que resolvam o problema.
"Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização", disseram os mantenedores do projeto em um aviso postado na semana passada.
"Esta é uma substituição direta e a atualização deve ser simples."
Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques no mundo real, uma falha de segurança anterior no software (
CVE-2017-5638
, pontuação CVSS: 10.0) foi usada por atores de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...