Le fournisseur de solutions de sécurité Sonatype estime que les développeurs ne parviennent pas à régler la grave vulnérabilité d’exécution de code à distance (RCE) dans le cadre Apache Struts 2, en se basant sur les téléchargements récents du code. La vulnérabilité, identifiée sous l’ID CVE-2023-50164, est classée 9,8 sur 10 en termes de gravité CVSS. Il s’agit d’un bug de logique dans la fonction de téléchargement de fichiers du cadre: si une application utilise Struts 2 pour permettre aux utilisateurs de télécharger des fichiers sur un serveur, ces derniers peuvent abuser de la vulnérabilité pour enregistrer des documents là où ils ne devraient pas le pouvoir sur cette machine distante. Ainsi, quelqu’un pourrait, par exemple, abuser de la faille pour télécharger un script de webshell sur un serveur web, et y accéder pour prendre le contrôle de ce système ou s’y introduire. Les conséquences d’une exploitation réussie pourraient être extrêmement dommageables: pensez à des vols de données, à des infections par des logiciels malveillants, à des intrusions dans un réseau, et à ce genre de choses. La solution est simple: utiliser des versions de Struts corrigées. Pourtant, des chercheurs de Sonatype, qui gère le dépôt Maven Central de logiciels open source, ont constaté qu’entre la divulgation de la faille le 7 décembre et le 18 décembre, environ 80% des téléchargements de Struts depuis ce silo de code provenaient de versions vulnérables à CVE-2023-50164.
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle
Les Problèmes Communs Rencontrés par la Société dans l’Utilisation Efficace des Derniers Développements de l’Intelligence Artificielle Introduction L’intelligence artificielle (IA)
