Критическая уязвимость в Apache Struts 2 активно используется злоумышленниками с применением публичных эксплойтов для поиска уязвимых устройств.
Apache Struts представляет собой фреймворк с открытым исходным кодом для создания веб-приложений на Java. Struts применяют различные организации, включая госструктуры, платформы e-commerce, финансовые учреждения и авиакомпании.
Недавно Apache официально раскрыл информацию о CVE-2024-53677 (оценка CVSS: 9.5), которая была обнаружена в логике загрузки файлов. Проблема затрагивает версии Struts 2.0.0-2.3.37 (устаревшие), 2.5.0-2.5.33 и 6.0.0-6.3.0.2. Как отмечается в бюллетене безопасности Apache, манипуляция параметрами загрузки файлов позволяет выполнить
Таким образом, хакер может обойти ограничения доступа и читать, а иногда и изменять файлы, к которым обычно доступ ограничен. Недостаток позволяет получить несанкционированный доступ к конфиденциальным данным.