Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Apache Struts: una nuova Remote Code Execution (RCE) che mette nuovamente paura. Aggiornare immediatamente

Redazione RHC : 12 Dicembre 2023 08:08

I bug di Apache Struts ci hanno regalato nel tempo semplici Remote Code Execution come il CVE-2017-5638 che hanno portato ad incidenti di rilievo, come ad esempio la epocale violazione di Equifax nel 2017. Non sono state poche le RCE che hanno afflitto il famoso framework, e questa volta è successo ancora.

Apache Struts è un framework Java che utilizza l’architettura Model-View-Controller (MVC) per creare applicazioni web orientate al business.

Apache ha rilasciato un avviso di sicurezza relativo a una falla di sicurezza critica nel framework delle applicazioni web open source Struts 2 che potrebbe comportare l’esecuzione di codice in modalità remota.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Classificata come CVE-2023-50164, la vulnerabilità è radicata in una “logica di caricamento file” difettosa che potrebbe consentire l’attraversamento non autorizzato del percorso (path traversal) e potrebbe essere sfruttata in determinate circostanze per caricare un file dannoso e ottenere l’esecuzione di codice arbitrario.

A Steven Seeley di Source Incite è stato attribuito il merito di aver scoperto e segnalato il difetto, che influisce sulle seguenti versioni del software:

  • Struts 2.3.37 (EOL)
  • Struts 2.5.0 – Struts 2.5.32 e
  • Puntoni 6.0.0 – Puntoni 6.3.0

Le patch per il bug sono disponibili nelle versioni 2.5.33 e 6.3.0.2 o successive. Non esistono soluzioni alternative che risolvano il problema.

“Si consiglia vivamente a tutti gli sviluppatori di eseguire questo aggiornamento”, hanno affermato i manutentori del progetto in un avviso pubblicato la scorsa settimana. “Si tratta di una sostituzione immediata e l’aggiornamento dovrebbe essere semplice.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009