Apache Struts: una nuova Remote Code Execution (RCE) che mette nuovamente paura. Aggiornare immediatamente

Redazione RHC : 12 Dicembre 2023 08:08

I bug di Apache Struts ci hanno regalato nel tempo semplici Remote Code Execution come il CVE-2017-5638 che hanno portato ad incidenti di rilievo, come ad esempio la epocale violazione di Equifax nel 2017. Non sono state poche le RCE che hanno afflitto il famoso framework, e questa volta è successo ancora.

Apache Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per creare applicazioni web orientate al business.

Apache ha rilasciato un avviso di sicurezza relativo a una falla di sicurezza critica nel framework delle applicazioni web open source Struts 2 che potrebbe comportare l’esecuzione di codice in modalità remota.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Classificata come CVE-2023-50164, la vulnerabilità è radicata in una “logica di caricamento file” difettosa che potrebbe consentire l’attraversamento non autorizzato del percorso (path traversal) e potrebbe essere sfruttata in determinate circostanze per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario.

A Steven Seeley di Source Incite è stato attribuito il merito di aver scoperto e segnalato il difetto, che influisce sulle seguenti versioni del software:

• Struts 2.3.37 (EOL)
• Struts 2.5.0 – Struts 2.5.32 e
• Puntoni 6.0.0 – Puntoni 6.3.0

Le patch per il bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative che risolvano il problema.

“Si consiglia vivamente a tutti gli sviluppatori di eseguire questo aggiornamento”, hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Si tratta di una sostituzione immediata e l’aggiornamento dovrebbe essere semplice.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli