Brother
Professional
- Messages
- 2,590
- Reaction score
- 533
- Points
- 113
Apache выпустила предупреждение о критической ошибке безопасности в платформе веб-приложений с открытым исходным кодом Struts 2, которая может привести к удаленному выполнению кода.
Отслеживаемая как CVE-2023-50164, уязвимость коренится в некорректной "логике загрузки файла", которая может позволить несанкционированный обход пути и может быть использована при данных обстоятельствах для загрузки вредоносного файла и выполнения произвольного кода.
Struts - это Java-фреймворк, использующий архитектуру Model-View-Controller (MVC) для создания веб-приложений, ориентированных на предприятия.
Стивену Сили из Source Incite приписывают обнаружение и сообщение об ошибке, которая влияет на следующие версии программного обеспечения -
"Всем разработчикам настоятельно рекомендуется выполнить это обновление", - сказали сопровождающие проекта в рекомендательном сообщении, опубликованном на прошлой неделе. "Это временная замена, и обновление должно быть простым".
Хотя нет никаких доказательств того, что уязвимость злонамеренно используется в реальных атаках, предыдущий недостаток безопасности в программном обеспечении (CVE-2017-5638, оценка CVSS: 10.0) был использован злоумышленниками для взлома агентства по отчетности о потребительских кредитах Equifax в 2017 году.
Отслеживаемая как CVE-2023-50164, уязвимость коренится в некорректной "логике загрузки файла", которая может позволить несанкционированный обход пути и может быть использована при данных обстоятельствах для загрузки вредоносного файла и выполнения произвольного кода.
Struts - это Java-фреймворк, использующий архитектуру Model-View-Controller (MVC) для создания веб-приложений, ориентированных на предприятия.
Стивену Сили из Source Incite приписывают обнаружение и сообщение об ошибке, которая влияет на следующие версии программного обеспечения -
- Struts 2.3.37 (EOL)
- Struts 2.5.0 - Struts 2.5.32 и
- Struts 6.0.0 - Struts 6.3.0
"Всем разработчикам настоятельно рекомендуется выполнить это обновление", - сказали сопровождающие проекта в рекомендательном сообщении, опубликованном на прошлой неделе. "Это временная замена, и обновление должно быть простым".
Хотя нет никаких доказательств того, что уязвимость злонамеренно используется в реальных атаках, предыдущий недостаток безопасности в программном обеспечении (CVE-2017-5638, оценка CVSS: 10.0) был использован злоумышленниками для взлома агентства по отчетности о потребительских кредитах Equifax в 2017 году.
