Apache ha publicado un aviso de seguridad advirtiendo sobre una falla de seguridad crítica en el marco de la aplicación web de código abierto Apache Struts 2 que podría resultar en la ejecución remota de código.
Registrada como CVE-2023-50164 (CVSS 9,8 sobre 10), la vulnerabilidad tiene su origen en una «lógica de carga de archivos» defectuosa que podría permitir un recorrido de ruta no autorizado y podría explotarse, dadas las circunstancias, para cargar un archivo malicioso y lograr la ejecución de código arbitrario.
Apache Struts es un marco Java que utiliza la arquitectura Model-View-Controller (MVC) para crear aplicaciones web orientadas a empresas.
A Steven Seeley de Source Incite se le atribuye el mérito de descubrir e informar la falla, que afecta las siguientes versiones del software:
- Struts 2.3.37 (EOL)
- Struts 2.5.0 a Struts 2.3.37 2.5.32 y
- Struts 6.0.0 a Struts 6.3.0
Los parches para el error están disponibles en las versiones 2.5.33 y 6.3.0.2 o superiores. No existen soluciones alternativas que mitiguen el problema.
«Se recomienda encarecidamente a todos los desarrolladores que realicen esta actualización», dijeron los encargados del proyecto en un aviso publicado la semana pasada. «Este es un reemplazo directo y la actualización debería ser sencilla».
Si bien no hay evidencia de que la vulnerabilidad esté siendo explotada maliciosamente en ataques del mundo real, los actores de amenazas utilizaron una falla de seguridad anterior en el software (CVE-2017-5638, CVSS: 10) para atacar la empresa de informes crediticios del consumidor Equifax en 2017.
El 10 de diciembre, un investigador de seguridad publicó un artículo técnico para CVE-2023-50164, explicando cómo un actor de amenazas podría contaminar los parámetros de carga de archivos en los ataques. Ayer se publicó un segundo artículo, que incluye código de explotación para la falla.
n un aviso de seguridad de ayer, Cisco dice que está investigando CVE-2023-50164 para determinar cuáles de sus productos con Apache Struts pueden verse afectados y en qué medida. Una lista completa de los productos potencialmente afectados está disponible en el boletín de seguridad de Cisco, que se espera que se actualice con información nueva.
Fuente y redacción: segu-info.com.ar