Apache Struts: una nuova Remote Code Execution (RCE) che mette nuovamente paura. Aggiornare immediatamente

I bug di Apache Struts ci hanno regalato nel tempo semplici Remote Code Execution come il CVE-2017-5638 che hanno portato ad incidenti di rilievo, come ad esempio la epocale violazione di Equifax nel 2017. Non sono state poche le RCE che hanno afflitto il famoso framework, e questa volta è successo ancora.

Apache Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per creare applicazioni web orientate al business.

Apache ha rilasciato un avviso di sicurezza relativo a una falla di sicurezza critica nel framework delle applicazioni web open source Struts 2 che potrebbe comportare l’esecuzione di codice in modalità remota.

Classificata come CVE-2023-50164, la vulnerabilità è radicata in una “logica di caricamento file” difettosa che potrebbe consentire l’attraversamento non autorizzato del percorso (path traversal) e potrebbe essere sfruttata in determinate circostanze per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario.

A Steven Seeley di Source Incite è stato attribuito il merito di aver scoperto e segnalato il difetto, che influisce sulle seguenti versioni del software:

• Struts 2.3.37 (EOL)
• Struts 2.5.0 – Struts 2.5.32 e
• Puntoni 6.0.0 – Puntoni 6.3.0

Le patch per il bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative che risolvano il problema.

“Si consiglia vivamente a tutti gli sviluppatori di eseguire questo aggiornamento”, hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Si tratta di una sostituzione immediata e l’aggiornamento dovrebbe essere semplice.”

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks