Разработчики Apache выпустили исправления критической уязвимости в популярном открытом веб-фреймворке Apache Struts 2 с идентификатором CVE-2023-50164 , которая может привести к удалённому выполнению кода (RCE). Обнаружение уязвимости приписывается багхантеру Стивену Сили из компании Source Incite.
CVE-2023-50164 позволяет злоумышленникам манипулировать параметрами загрузки файлов, что может привести к обходу пути и загрузке вредоносного файла, используемого для удалённого выполнения кода. Дополнительные подробности об уязвимости пока что не раскрываются.
Проблема затрагивает версии Apache Struts с 2.0.0 по 2.5.32 и с 6.0.0 по 6.3.0.1. В свою очередь, исправление интегрировано, начиная с версий 2.5.33 и 6.3.0.2.
Веб-разработчикам настоятельно рекомендуется выполнить это обновление, к тому же процесс не займёт много времени и не потребует внесения изменений в текущую конфигурацию.
Apache Struts 2 часто используются злоумышленниками для проведения атак. Это современный открытый Java-фреймворк для создания готовых к использованию в корпоративной среде веб-приложений. Его предшественник, Apache Struts 1, более не поддерживается.
В 2017 году нарушение безопасности сайта Equifax в США и последующая масштабная утечка данных были вызваны как раз уязвимостью в Apache Struts 2, а также недостаточно оперативными мерами по её устранению ответственными лицами.