Apache ha emesso un avviso di sicurezza riguardante una grave vulnerabilità nel framework per applicazioni web open-source Struts 2, che potrebbe portare all’esecuzione di codice remoto (RCE). Identificata come CVE-2023-50164, questa vulnerabilità è radicata in una logica di caricamento file difettosa che potrebbe consentire un percorso di attraversamento non autorizzato.
Dettagli tecnici della Vulnerabilità
Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per lo sviluppo di applicazioni web orientate alle imprese. La vulnerabilità può essere sfruttata per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario. Steven Seeley di Source Incite è stato accreditato per la scoperta e la segnalazione del difetto, che impatta le seguenti versioni del software:
- Struts 2.3.37 (EOL)
- Struts 2.5.0 – Struts 2.5.32
- Struts 6.0.0 – Struts 6.3.0
Aggiornamenti e Patch Disponibili
Le patch per questo bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative per mitigare il problema. “Tutti gli sviluppatori sono fortemente consigliati a eseguire questo aggiornamento,” hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Questo è un sostituto diretto e l’aggiornamento dovrebbe essere semplice.”
Precedenti e Implicazioni di Sicurezza
Sebbene non ci siano prove che la vulnerabilità sia stata sfruttata maliziosamente in attacchi nel mondo reale, una precedente falla di sicurezza nel software (CVE-2017-5638, punteggio CVSS: 10.0) è stata utilizzata da attori minacciosi per violare l’agenzia di reporting del credito al consumo Equifax nel 2017.