Origine : bjCSIRT
Numéro : 2023/ALERTE/056
Date de l’alerte : 21/12/2023
APERÇU :
Apache Struts, est affecté par une vulnérabilité de type traversé de répertoire qui permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.
DESCRIPTION :
Apache Struts est un framework open-source développé en Java, conçu pour faciliter le développement d’applications web basées sur le modèle MVC (Modèle-Vue-Contrôleur).
Libellé sous le CVE-2023-50164, cette vulnérabilité permet à un attaquant de manipuler les paramètres de téléchargement de fichiers pour permettre la traversée des chemins et dans certaines circonstances cela peut conduire au téléchargement d’un fichier malveillant qui peut être utilisé pour effectuer l’exécution de code à distance.
Cette vulnérabilité est d’une sévérité Elevé
IMPACT :
- Atteinte à l’intégrité des données;
- Atteinte à la disponibilité des données;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Apache Struts versions 2.x antérieures à 2.5.33
- Apache Struts versions 6.x antérieures à 6.3.0.2
MESURES À PRENDRE :
- Mettre à jour Apache Struts vers la version 2.5.33, 6.3.0.2 ou ultérieure
RÉFÉRENCES :
