Een kwetsbaarheid in Apache Struts 2 laat criminelen toe om malafide bestanden te uploaden naar servers. Een patch is beschikbaar, een workaround niet.
Apache Struts 2 is kwetsbaar voor een bug waarmee aanvallers bestanden kunnen uploaden naar een server, en eigen code kunnen uitvoeren. De kwetsbaarheid krijgt een CVSS-score van 9,8. De bug zit in de code die te maken heeft met de upload-capaciteiten van de software. Aanvallers kunnen daar met parameters spelen om zo bestanden op een server uit te voeren en de controle over te nemen.
Kritiek zonder workaround
De bug heet CVE-2023-50164 en is kritiek. Er is geen workaround beschikbaar die het probleem kan mitigeren. De enige oplossing is bijgevolg om de meest recente patch te installeren. Apache Struts 2.5.33 of 6.3.0.2 zijn niet meer vatbaar voor het probleem.
Apache Struts 2 is niet meer het modernste framework, maar blijft wel erg populair. Een kwetsbaarheid in de oplossing kan zo verstrekkende gevolgen hebben. Wie Apache Struts 2 gebruikt, mag niet twijfelen en moet de patch absolute prioriteit geven. De miserie die dat met zich meebrengt, is hoe dan ook kleiner dan de problemen wanneer een hacker de bug onvermijdelijk misbruikt om zich toegang te verschaffen.