Apache telah merilis peringatan keamanan tentang kelemahan keamanan kritis dalam kerangka aplikasi web sumber terbuka Struts 2 yang dapat mengakibatkan eksekusi kode jarak jauh.
Dilacak sebagai CVE-2023-50164 , kerentanan ini berakar pada "logika pengunggahan file" yang cacat yang dapat memungkinkan penjelajahan jalur tidak sah dan dapat dieksploitasi dalam keadaan untuk mengunggah file berbahaya dan mencapai eksekusi kode arbitrer.
Struts adalah kerangka kerja Java yang menggunakan arsitektur Model-View-Controller ( MVC ) untuk membangun aplikasi web berorientasi perusahaan.
Steven Seeley dari Source Incite telah berjasa menemukan dan melaporkan kelemahan tersebut, yang berdampak pada versi perangkat lunak berikut -
- Penopang 2.3.37 (EOL)
- Struts 2.5.0 - Struts 2.5.32, dan
- Penopang 6.0.0 - Penopang 6.3.0
Patch untuk bug tersedia dalam versi 2.5.33 dan 6.3.0.2 atau lebih tinggi. Tidak ada solusi yang bisa mengatasi masalah ini.
“Semua pengembang sangat disarankan untuk melakukan peningkatan ini,” kata pengelola proyek dalam sebuah nasihat yang diposting minggu lalu. "Ini adalah pengganti drop-in dan peningkatannya harus dilakukan dengan mudah."
Meskipun tidak ada bukti bahwa kerentanan tersebut dieksploitasi secara jahat dalam serangan di dunia nyata, kelemahan keamanan sebelumnya pada perangkat lunak ( CVE-2017-5638 , skor CVSS: 10.0) digunakan oleh pelaku ancaman untuk melanggar agen pelaporan kredit konsumen Equifax di 2017.
Source: https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html
Source: https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html