Tydzień temu opublikowano informacje dotyczące krytycznej podatności w Apache Struts (śledzonej pod numerem CVE-2024-53677), a Apache wydało aktualizację naprawiającą podatność. Podatność oceniono według metryki CVSS na 9.5/10.0.
Podatność umożliwia wgrywanie plików przez atakującego, prowadząc do zdalnego wykonania kodu (RCE). Podatność dotyczy wersji 2.0.0 – 2.3.3, 2.5.0. – 2.5.33 oraz 6.0.0 – 6.3.0.2. Lukę naprawiono w wersji 6.4.0 i wyższych.
Exploit na tę podatność jest publicznie dostępny, stworzony na zasadzie Proof-of-concept. ISC SANS obserwuje zwiększoną aktywność z wykorzystaniem wspomnianego exploita „lub mocno nim inspirowanego”.
Źródła:
- https://nvd.nist.gov/vuln/detail/CVE-2024-53677
- https://isc.sans.edu/diary/31520
- https://cwiki.apache.org/confluence/display/WW/S2-067
- https://github.com/TAM-K592/CVE-2024-53677-S2-067
- https://www.bleepingcomputer.com/news/security/new-critical-apache-struts-flaw-exploited-to-find-vulnerable-servers/