Apache Struts 2’deki yeni RCE güvenlik açığı düzeltildi, en kısa sürede güncelleyin (CVE-2023-50164)
Apache Struts projesi, popüler açık kaynaklı web uygulaması çerçevesi için, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik açığına yönelik düzeltmeler içeren güncellemeler yayınladı (CVE-2023-50164).
CVE-2023-50164 Hakkında
CVE-2023-50164, bir saldırganın dosya yükleme parametrelerini değiştirerek etkinleştirmesine izin verebilir. Bazı durumlarda bu, saldırganın uzaktan kod yürütmek için kullanılabilecek kötü amaçlı bir dosya yüklemesine olanak tanıyabilir.
Şu anda ek ayrıntı mevcut değil.
Güvenlik açığı Apache Struts 2.0.0 ila 2.5.32 ve 6.0.0 ila 6.3.0.1 sürümlerini etkilemektedir ve Apache Struts 2.5.33 ve 6.3.0.2 sürümlerinde düzeltilmiştir.
Apache Struts projesi “Tüm geliştiricilerin bu yükseltmeyi gerçekleştirmeleri şiddetle tavsiye edilir”. “Bu, anında değiştirme işlemidir ve yükseltmenin basit olması gerekir.”
Duygu şuydu: Kusuru proje yöneticilerine bildiren güvenlik araştırmacısı ve üretken hata avcısı Source Incite’den Steven Seeley tarafından.
Apache Struts 2’deki güvenlik açıkları genellikle saldırganlar tarafından kullanılıyor
Apache Struts 2, kurumsal kullanıma hazır web uygulamaları oluşturmaya yönelik modern bir açık kaynaklı Java çerçevesidir.
Equifax’ın ABD web sitesinin 2017’de ele geçirilmesi ve ardından gelen büyük veri ihlali, Apache Struts 2 kusurunun sonucuydu. Çerçeve dünya genelindeki işletmeler tarafından yaygın olarak kullanıldığından ve Struts tarafından tasarlanan uygulamalar genellikle internete yönelik olduğundan, Apache Struts 2’deki güvenlik açıkları ortadan kaldırılmıştır.
