Kritisk sårbarhet i Struts 2

Apache informerar om en kritisk sårbarhet i ramverket Struts 2. Genom att utnyttja bristen kan en angripare fjärrköra skadlig kod på systemet. [1] Sårbarheten (CVE-2024-53677) har av tillverkaren fått klassificering 9.5 enligt CVSS 4.0. [2]

En PoC finns publikt tillgänglig. Försök att utnyttja sårbarheten har rapporterats, men ännu inga uppgifter om att dessa försök lyckats. [3]

Sårbarheten påminner om CVE-2023-50164, som CERT-SE skrev om för omkring ett år sedan. [4]

Påverkade produkter

• Struts 2.0.0 till Struts 2.3.37 (EOL)

• Struts 2.5.0 till Struts 2.5.33 (EOL)

• Struts 6.0.0 till Struts 6.3.0.2

Endast applikationer där FileUploadInterceptor används är sårbara. [1]

Rekommendationer

CERT-SE rekommenderar att uppgradera till version 6.4.0 eller högre samt följa tillverkarens övriga instruktioner.

Källor

[1] https://cwiki.apache.org/confluence/display/WW/S2-067

[2] https://nvd.nist.gov/vuln/detail/CVE-2024-53677

[3] https://isc.sans.edu/diary/Exploit+attempts+inspired+by+recent+Struts2+File+Upload+Vulnerability+CVE202453677+CVE202350164/31520

[4] https://www.cert.se/2023/12/apache-r%C3%A4ttar-kritisk-s%C3%A5rbarhet-i-apache-struts-2.html