Quatre téléchargements Apache Struts 2 sur cinq concernent des versions présentant une faille critique.

Le fournisseur de solutions de sécurité Sonatype estime que les développeurs ne parviennent pas à corriger la grave vulnérabilité d’exécution de code à distance (RCE) dans le framework Apache Struts 2, d’après les téléchargements récents du code. La vulnérabilité, identifiée sous l’ID CVE-2023-50164, est notée 9,8 sur 10 en termes de sévérité CVSS. Il s’agit d’une erreur de logique dans la fonction de téléchargement de fichiers du framework : si une application utilise Struts 2 pour permettre aux utilisateurs de télécharger des fichiers sur un serveur, ces derniers peuvent abuser de la vulnérabilité pour enregistrer des documents là où ils ne devraient pas le pouvoir sur cette machine distante. Ainsi, quelqu’un pourrait par exemple utiliser la faille pour télécharger un script webshell sur un serveur web, et y accéder pour prendre le contrôle de ce système ou s’en emparer. Les conséquences d’une exploitation réussie pourraient être extrêmement dommageables : pensez au vol de données, aux infections par des logiciels malveillants, à l’intrusion dans un réseau, et à ce genre de choses. La solution est simple : utilisez des versions de Struts qui ont été corrigées. Pourtant, les chercheurs de Sonatype, qui gère le dépôt de logiciels open source Maven Central, ont constaté qu’entre la divulgation de la faille le 7 décembre et le 18 décembre, environ 80 % des téléchargements de Struts depuis ce dépôt de code étaient pour des versions vulnérables à CVE-2023-50164.

Share the Post: