Apache hat eine kritische Sicherheitslücke im Open-Source-Webanwendungsframework Struts 2 bekanntgegeben. Die Lücke, bekannt als CVE-2023-50164, ermöglicht es Angreifern, über fehlerhafte Datei-Upload-Logik unerlaubtes Verzeichnisdurchqueren auszuführen, was zur Remote-Code-Ausführung führen könnte.
Was ist Apache Struts 2?
Apache Struts 2 ist ein Java-Framework, das auf der Model-View-Controller-Architektur basiert und für die Entwicklung von Unternehmens-Webanwendungen verwendet wird.
Details zur Sicherheitslücke:
Die Schwachstelle CVE-2023-50164, mit einer CVSS-Bewertung von 9.8, ermöglicht es einem Angreifer, Datei-Upload-Parameter so zu manipulieren, dass ein Pfaddurchqueren möglich wird. In bestimmten Fällen könnte dies dazu führen, dass ein Angreifer eine bösartige Datei hochlädt und beliebigen Code ausführt.
Betroffene Versionen:
Die Lücke betrifft Apache Struts Versionen 2.0.0 bis 2.5.32 und 6.0.0 bis 6.3.0.1.
Was Nutzer tun sollten:
Es wird dringend empfohlen, auf die nicht betroffenen Versionen 2.5.33 oder 6.3.0.2 oder höher zu aktualisieren, da es keine Workarounds gibt, die das Problem beheben.
Fazit:
Die Aktualisierung auf eine sichere Version von Apache Struts 2 ist unerlässlich, um mögliche Angriffe abzuwehren. Es ist wichtig, dass Entwickler und IT-Verantwortliche schnell handeln, um ihre Systeme zu schützen.
Möchtest du mehr über Cybersicherheit erfahren und wie du dich schützen kannst? Dann klick hier, um weitere spannende Themen in unserem Blog zu entdecken!