De Amerikaanse overheid en Cisco waarschuwen voor een ernstige kwetsbaarheid in Apache Struts waardoor aanvallers in het ergste geval systemen kunnen overnemen. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites. In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen.
De kwetsbaarheid waarvoor nu wordt gewaarschuwd (CVE-2023-50164) maakt het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution. Vorige week verscheen er een update voor het beveiligingslek en werden alle ontwikkelaars opgeroepen die te installeren.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft nu een zelfde oproep gedaan. Daarnaast is ook Cisco met een waarschuwing gekomen en laat weten dat het een onderzoek is gestart naar tientallen producten die mogelijk van Struts gebruikmaken en daardoor risico lopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.