Vulnerabilidad crítica en Struts 2

diciembre 19, 2024

Publicado: 2024-12-18 13:04

Puntales 2

apache

Apache informa sobre una vulnerabilidad crítica en el marco Struts 2. Al explotar la falla, un atacante podría ejecutar código malicioso en el sistema de forma remota. [1] La vulnerabilidad (CVE-2024-53677) ha sido calificada por el fabricante con 9,5 según CVSS 4.0. [2]

Un PoC está disponible públicamente. Se han informado intentos de explotar la vulnerabilidad, pero aún no hay informes de que hayan tenido éxito. [3]

La vulnerabilidad recuerda a CVE-2023-50164, sobre la cual CERT-SE escribió hace aproximadamente un año. [4]

Productos afectados

Struts 2.0.0 hasta Struts 2.3.37 (EOL)
Struts 2.5.0 hasta Struts 2.5.33 (EOL)
Puntales 6.0.0 hasta Puntales 6.3.0.2

Sólo las aplicaciones que utilizan FileUploadInterceptor son vulnerables. [1]

Recomendaciones

CERT-SE recomienda actualizar a la versión 6.4.0 o superior y seguir las demás instrucciones del fabricante.

Fuentes

[1] https://cwiki.apache.org/confluence/display/WW/S2-067

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-53677

[3] https://isc.sans.edu/diary/Exploit+attempts+inspired+by+recent+Struts2+File+Upload+Vulnerability+CVE202453677+CVE202350164/31520

[4] https://www.cert.se/2023/12/apache-r%C3%A4ttar-kritisk-s%C3%A5rbarhet-i-apache-struts-2.html

Source link

Vulnerabilidad crítica en Struts 2

Productos afectados

Recomendaciones

Fuentes

DSA-2025-053: Security Update for Dell Client Platform for Multiple Dell ControlVault3 Driver and Firmware Vulnerabilitie

Más de 269,000 sitios web infectados con malware JSFiretruck JavaScript en un mes

GitLab Security Advisory (AV25-342) – Centro canadiense de seguridad cibernética