Apache Struts: una nuova Remote Code Execution (RCE) che mette nuovamente paura. Aggiornare immediatamente

Redazione RHC : 12 Dicembre 2023 08:08

I bug di Apache Struts ci hanno regalato nel tempo semplici Remote Code Execution come il CVE-2017-5638 che hanno portato ad incidenti di rilievo, come ad esempio la epocale violazione di Equifax nel 2017. Non sono state poche le RCE che hanno afflitto il famoso framework, e questa volta è successo ancora.

Apache Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per creare applicazioni web orientate al business.

Apache ha rilasciato un avviso di sicurezza relativo a una falla di sicurezza critica nel framework delle applicazioni web open source Struts 2 che potrebbe comportare l’esecuzione di codice in modalità remota.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Classificata come CVE-2023-50164, la vulnerabilità è radicata in una “logica di caricamento file” difettosa che potrebbe consentire l’attraversamento non autorizzato del percorso (path traversal) e potrebbe essere sfruttata in determinate circostanze per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario.

A Steven Seeley di Source Incite è stato attribuito il merito di aver scoperto e segnalato il difetto, che influisce sulle seguenti versioni del software:

• Struts 2.3.37 (EOL)
• Struts 2.5.0 – Struts 2.5.32 e
• Puntoni 6.0.0 – Puntoni 6.3.0

Le patch per il bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative che risolvano il problema.

“Si consiglia vivamente a tutti gli sviluppatori di eseguire questo aggiornamento”, hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Si tratta di una sostituzione immediata e l’aggiornamento dovrebbe essere semplice.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli