Найден очередной Java-баг Он позволяет исполнение произвольного кода

Фонд Apache Foundation выпустил предупреждение об обнаружении критической уязвимости в фреймворке веб-приложений Struts 2. Эта уязвимость, каталогизированная как CVE-2023-50164, представляет собой значительный риск, поскольку позволяет выполнить вредоносный код в среде Struts 2.

Уязвимость связана с недостатком в «логике загрузки файлов» фреймворка. Эта ошибка позволяет злоумышленникам обойти намеченный путь к файлу, что позволяет при определенных условиях загрузить вредоносный файл. Это действие потенциально может привести к выполнению произвольного кода внутри приложения.

Обнаружение этой критической проблемы приписывается Стивену Сили из Source Incite. Apache Foundation установила, что уязвимости подвержены версии Struts 2.3.37 (deprecated), Struts 2.5.0 – Struts 2.5.32 и Struts 6.0.0 – Struts 6.3.0.1.

В ответ на нынешнюю угрозу в бюллетене Apache появилась настоятельная рекомендация пользователям установить последние обновления для Struts 2. Актуальность этой рекомендации усиливается еще и тем, что тестовый эксплойт для этой уязвимости уже опубликован на GitHub. Сообщается, что этот эксплойт не просто теоретический, а уже активно используется в реальных атаках.

Согласно информации, предоставленной Akamai изданию The Hacker News, злоумышленники используют эту уязвимость для установки веб-оболочек и закрепления в сетях. Были подтверждены случаи, когда эти попытки были успешными, что привело к несанкционированному доступу и потенциальной утечке данных.

Пользователям Apache Struts 2 настоятельно рекомендуется принять срочные меры и обновить свои системы до последних исправленных версий, чтобы снизить риски, связанные с этой уязвимостью.

Что такое JavaScript: