A Apache emitiu um aviso de segurança sobre uma falha crítica no framework de aplicação web de código aberto Struts 2, que pode resultar em execução remota de código (RCE).

Identificada como CVE-2023-50164, a vulnerabilidade está relacionada a uma lógica de upload de arquivos falha, permitindo a transversal de caminho não autorizada e a possibilidade de upload de um arquivo malicioso para execução de código arbitrário.

O Struts é um framework Java que utiliza a arquitetura Model-View-Controller (MVC) para a construção de aplicações web orientadas a empresas. Correções para o bug estão disponíveis nas versões 2.5.33 e 6.3.0.2 ou superiores.

Não existem soluções alternativas que remediem completamente o problema. “Todos os desenvolvedores são fortemente aconselhados a realizar esta atualização”, disseram os mantenedores do projeto em um comunicado na semana passada.

Embora não haja evidências de que a vulnerabilidade esteja sendo explorada maliciosamente em ataques reais, uma falha de segurança anterior no software (CVE-2017-5638, pontuação CVSS: 10.0) foi usada por atores de ameaças para violar a agência de relatórios de crédito ao consumidor Equifax em 2017.