Une vulnérabilité dans Apache Struts 2 permet à des criminels de télécharger des fichiers frauduleux sur des serveurs. Un correctif est disponible, mais pas de solution de contournement.
Apache Struts 2 est vulnérable à un bogue qui permet à des attaquants de télécharger des fichiers sur un serveur et d’exécuter leur propre code. La vulnérabilité obtient un score CVSS de 9.8. Le bogue se trouve dans le code qui gère les capacités de téléchargement du logiciel. Les attaquants peuvent jouer avec les paramètres pour exécuter des fichiers sur un serveur et en prendre le contrôle.
Critique sans solution de rechange
Le bogue est appelé CVE-2023-50164 et est critique. Il n’existe pas de solution de contournement permettant d’atténuer le problème. Par conséquent, la seule solution consiste à installer le dernier correctif. Apache Struts 2.5.33 ou 6.3.0.2 ne sont plus sensibles au problème.
Apache Struts 2 n’est plus le framework le plus moderne, mais il reste très populaire. Une vulnérabilité dans la solution peut donc avoir des conséquences importantes. Toute personne utilisant Apache Struts 2 ne doit pas hésiter et doit donner la priorité absolue au correctif. En tout état de cause, le malheur est moins grand que les problèmes qu’un pirate informatique ne manquera pas de provoquer en abusant du bogue pour s’introduire dans le système.