Selon le fournisseur de services de sécurité Sonatype, les développeurs ne parviennent pas à traiter la grave vulnérabilité d’exécution de code à distance (RCE) dans le framework Apache Struts 2, en se basant sur les téléchargements récents du code. La vulnérabilité, identifiée sous le numéro CVE-2023-50164, est évaluée à 9,8 sur 10 en termes de gravité CVSS. Il s’agit d’un bug logique dans la fonction de téléchargement de fichiers du framework : si une application utilise Struts 2 pour permettre aux utilisateurs de télécharger des fichiers sur un serveur, ces derniers peuvent abuser de la vulnérabilité pour enregistrer des documents là où ils ne devraient pas l’être sur cette machine distante. Ainsi, quelqu’un pourrait par exemple utiliser la faille pour télécharger un script de webshell sur un serveur web, et y accéder pour prendre le contrôle de ce système ou s’en emparer. Les conséquences d’une exploitation réussie pourraient être extrêmement dommageables : pensez au vol de données, aux infections par logiciels malveillants, à l’intrusion dans un réseau, et à ce genre de choses. La solution est simple : utiliser des versions de Struts corrigées. Pourtant, les chercheurs de Sonatype, qui gère le dépôt Maven Central de logiciels open source, ont constaté que, entre la divulgation de la faille le 7 décembre et le 18 décembre, environ 80 % des téléchargements de Struts effectués à partir de ce dépôt étaient pour des versions vulnérables à CVE-2023-50164.
Équilibrer la Numérisation et la Sobriété Numérique dans la Formation Professionnelle : Solutions Actuelles et Besoins Émergents
La formation professionnelle tout au long de la vie (FTLV) connaît une transformation significative dans le contexte actuel de numérisation
