Apache Struts: una nuova Remote Code Execution (RCE) che mette nuovamente paura. Aggiornare immediatamente

Redazione RHC : 12 Dicembre 2023 08:08

I bug di Apache Struts ci hanno regalato nel tempo semplici Remote Code Execution come il CVE-2017-5638 che hanno portato ad incidenti di rilievo, come ad esempio la epocale violazione di Equifax nel 2017. Non sono state poche le RCE che hanno afflitto il famoso framework, e questa volta è successo ancora.

Apache Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per creare applicazioni web orientate al business.

Apache ha rilasciato un avviso di sicurezza relativo a una falla di sicurezza critica nel framework delle applicazioni web open source Struts 2 che potrebbe comportare l’esecuzione di codice in modalità remota.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Classificata come CVE-2023-50164, la vulnerabilità è radicata in una “logica di caricamento file” difettosa che potrebbe consentire l’attraversamento non autorizzato del percorso (path traversal) e potrebbe essere sfruttata in determinate circostanze per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario.

A Steven Seeley di Source Incite è stato attribuito il merito di aver scoperto e segnalato il difetto, che influisce sulle seguenti versioni del software:

• Struts 2.3.37 (EOL)
• Struts 2.5.0 – Struts 2.5.32 e
• Puntoni 6.0.0 – Puntoni 6.3.0

Le patch per il bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative che risolvano il problema.

“Si consiglia vivamente a tutti gli sviluppatori di eseguire questo aggiornamento”, hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Si tratta di una sostituzione immediata e l’aggiornamento dovrebbe essere semplice.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli