Le fournisseur de solutions de sécurité Sonatype estime que les développeurs n’ont pas pris la mesure de la gravité de la vulnérabilité d’exécution de code à distance (RCE) dans le framework Apache Struts 2, d’après les téléchargements récents du code. Cette vulnérabilité, identifiée sous l’ID CVE-2023-50164, est classée 9,8 sur 10 en termes de gravité CVSS. Il s’agit d’une erreur logique dans la fonction de téléchargement de fichiers du framework : si une application utilise Struts 2 pour permettre aux utilisateurs de télécharger des fichiers sur un serveur, ces derniers peuvent abuser de cette vulnérabilité pour enregistrer des documents là où ils ne devraient pas le pouvoir sur cette machine distante. Ainsi, quelqu’un pourrait par exemple utiliser cette faille pour télécharger un script de webshell sur un serveur web, et y accéder pour prendre le contrôle de ce système ou s’y introduire. Les conséquences d’une exploitation réussie pourraient être extrêmement dommageables : pensez à des vols de données, des infections par malware, des intrusions réseau, et ce genre de choses. La solution est simple : utilisez des versions de Struts corrigées. Pourtant, les chercheurs de Sonatype, qui gère le dépôt Maven Central de logiciels open source, ont constaté qu’entre la divulgation de la faille le 7 décembre et le 18 décembre, environ 80 % des téléchargements de Struts à partir de ce dépôt étaient pour des versions vulnérables à CVE-2023-50164.
Nvidia pulvérise les records, Meta sacrifie 8 000 emplois pour l’IA et Google réinvente la recherche : le tournant du 21 mai 2026
Nvidia affiche 81,6 milliards de dollars de chiffre d’affaires trimestriel, Meta licencie 8 000 personnes pour financer son virage IA, et Google transforme radicalement sa recherche avec l’intelligence artificielle. L’équipe Netz Informatique décrypte ces bouleversements pour ses clients.