Summarize this content to 600 words
Publicado: 2024-12-18 13:04
Puntales 2
apache
Apache informa sobre una vulnerabilidad crítica en el marco Struts 2. Al explotar la falla, un atacante podría ejecutar código malicioso en el sistema de forma remota. [1] La vulnerabilidad (CVE-2024-53677) ha sido calificada por el fabricante con 9,5 según CVSS 4.0. [2]
Un PoC está disponible públicamente. Se han informado intentos de explotar la vulnerabilidad, pero aún no hay informes de que hayan tenido éxito. [3]
La vulnerabilidad recuerda a CVE-2023-50164, sobre la cual CERT-SE escribió hace aproximadamente un año. [4]
Productos afectados
Struts 2.0.0 hasta Struts 2.3.37 (EOL)
Struts 2.5.0 hasta Struts 2.5.33 (EOL)
Puntales 6.0.0 hasta Puntales 6.3.0.2
Sólo las aplicaciones que utilizan FileUploadInterceptor son vulnerables. [1]
Recomendaciones
CERT-SE recomienda actualizar a la versión 6.4.0 o superior y seguir las demás instrucciones del fabricante.
Fuentes
[1] https://cwiki.apache.org/confluence/display/WW/S2-067
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-53677
[3] https://isc.sans.edu/diary/Exploit+attempts+inspired+by+recent+Struts2+File+Upload+Vulnerability+CVE202453677+CVE202350164/31520
[4] https://www.cert.se/2023/12/apache-r%C3%A4ttar-kritisk-s%C3%A5rbarhet-i-apache-struts-2.html