Home Blogs Menace mise à jour Intel : CVE-2023-50164 – Apache Struts2
Download
Applications
Media
Expert Service

Menace mise à jour Intel : CVE-2023-50164 – Apache Struts2

Download
Share

About The Author

Image de Tom Gorup
Tom Gorup
As the Vice President of Security Services at Edgio, Tom Gorup leads a team of security professionals who deliver world-class security solutions to customers across various industries. He is responsible for overseeing the company's global security operations, ensuring the highest standards of quality, efficiency, and customer satisfaction. Tom has over 15 years of experience in managing security operations, from co-founding and running a successful MDR startup to directing a large-scale SOC at a leading cloud security provider. He has a proven track record of building and growing security teams, developing innovative technologies and processes, and securing organizations from emerging threats. He is also a recognized thought leader and speaker in the security industry, as well as a decorated veteran who served in the U.S. Army. Tom is passionate about advancing the field of cybersecurity and empowering his team to deliver the best security outcomes for their customers.

Outline

Download
Share
CVE-2023-50164 est une vulnérabilité critique découverte dans Apache Struts2, un framework open source Model-View-Controller (MVC) largement utilisé pour Java Web applications​. Voici une ventilation détaillée basée sur les dernières informations.

Détails de la vulnérabilité

CVE-2023-50164 permet à un attaquant de manipuler les paramètres de téléchargement de fichiers, ce qui permet la traversée de chemin. Dans certaines conditions, cela peut conduire au téléchargement d’un fichier malveillant, qui peut être exploité pour effectuer l’exécution de code à distance (RCE)​​. Conséquence : cette vulnérabilité constitue une menace sérieuse car elle pourrait permettre à des attaquants distants d’exécuter du code arbitraire sur les servers​ affectés.

Spécifications techniques

  • Composant défectueux : la vulnérabilité provient d’une logique de téléchargement de fichier défectueuse dans Apache Struts 2​​.
  • Degré de gravité : il a un score de base CVSS 3.x de 9,8, classé comme CRITIQUE. Le vecteur CVSS est CVSS:3,1/AV:N/AC:l/PR:N/UI:N/S:U/C:H/I:H/A:H, ce qui indique que la vulnérabilité est à la fois très dommageable et facile à exploit​.

Versions concernées

Les versions d’Apache Struts de 2.0.0 à 2.5.32 et les versions de 6.0.0 à 6.3.0.1 sont concernées par ce vulnerability​.

Atténuation et mises à jour

Des mises à jour de sécurité pour Apache Struts2 ont été publiées pour corriger cette vulnérabilité critique de téléchargement de fichiers, atténuant le potentiel de code distant execution​​​. **La plate-forme d’Edgio n’est pas affectée par cette vulnérabilité. Nous vous recommandons de prendre les mesures suivantes pour protéger votre application.** Action recommandée : il est conseillé aux utilisateurs de mettre à niveau vers Struts 2.5.33 ou Struts 6.3.0.2 ou versions ultérieures pour corriger ce problème. Si vous ne parvenez pas à effectuer immédiatement la mise à niveau vers ces versions, Edgio peut vous aider à déployer des règles de sécurité personnalisées pour atténuer cette menace en bloquant tout téléchargement de fichiers à l’aide de formulaires HTTP ou de types de contenu à parties multiples. Il est crucial de remédier rapidement à cette vulnérabilité en raison de sa nature critique et de son potentiel d’exploitation, alors contactez le SOC 24×7 d’Edgio à tickets@edg.io pour obtenir de l’aide pour la mise en œuvre de correctifs virtuels personnalisés.

Ressources supplémentaires :

https://www.cve.org/CVERecord?id=CVE-2023-50164 https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj https://struts.apache.org/announce-2023#a20231207-2

Tags

Just For You