کشف آسیبپذیری در Apache Struts 2
Apache Struts بهروزرسانیهای جدیدی را برای framework برنامه کاربردی وب (Open source) خود منتشر کرده است. این بهروزرسانیها، آسیبپذیری بحرانی (CVE-2023-50164) را بررسی میکنند که در صورت بهرهبرداری، میتواند منجر به اجرای کد از راه دور شود. Apache Struts 2 به عنوان یک framework جاوا مدرن و Open source مورد استفاده قرار گرفته و یک پلتفرم قوی جهت توسعه برنامههای کاربردی وب، متناسب با سطح سازمانی ارائه میدهد.
آسیبپذیری امنیتی شناساییشده با شناسه CVE-2023-50164 این پتانسیل را دارد که مهاجم را قادر سازد پارامترهای مرتبط با آپلود فایلها را دستکاری کند و در نتیجه پیمایش مسیر را تسهیل بخشد. در شرایط خاص، این دستکاری میتواند مهاجم را قادر سازد تا یک فایل مخرب را آپلود و کد دلخواه خود را از راه دور بر روی سیستم آسیبدیده اجرا کند.
محصولات تحت تأثیر
این آسیبپذیری Apache Struts نسخه های 2.0.0 تا 2.5.32 و 6.0.0 تا 6.3.0.1 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت Apache Struts را به نسخههای Apache Struts 2.5.33 و 6.3.0.2 ارتقاء دهند.