Siendo para racionalizar el desarrollo de aplicaciones web de Java EE, el Apache Struts de código abierto Frameork todavía se ve afectado por un defecto. Actualmente explotada, esta vulnerabilidad se abre con la ejecución del código remoto. Sin embargo, se ha presentado una solución para ser aplicada lo antes posible. "Un atacante puede manejar la configuración de descarga de archivos para activar la ruta transversal [accès à des fichiers et répertoires stockés en dehors de la racine du site web, ndlr] Y, en ciertas circunstancias, esto puede conducir a la descarga de un archivo malicioso que se puede utilizar para realizar una ejecución de código remoto ", advertencia La Fundación Apache en un boletín de seguridad.
Identificado como CVE-2024-53677, esta falla crítica (puntuación CVSS de 9.5) afecta diferentes versiones de los puntales Apache: 2.0.0 hasta 2.3.37, 2.5.0 hasta 2.5.33 y 6.0.0 a 6.3.0.2. Para protegerlo, la Fundación recomienda ir a la versión Struts 6.4.0 (o más reciente) a través de este último Mecanismo de descarga de archivos. Este agujero de seguridad fue corregido la semana pasada, pero actualmente se opera en la naturaleza. Esta no es la primera vez que Struts Apache se ha visto afectado por un defecto de tipo RCE crítico: Este ya había sido el caso el año pasado con el CVE-2023-50164.
Otras noticias que te pueden interesar