Le 04 décembre 2023, Apache a émis un bulletin de sécurité concernant une vulnérabilité découverte au sein d’Apache Struts 2, identifiée sous la référence CVE-2023-50164.
Un défaut de contrôle des données dans la classe Strusts ActionSupport, permet à un attaquant distant et non authentifié, de téléverser un fichier malveillant dans un dossier ciblé pour exécuter une charge utile.
Le CERT-FR alerte dans son bulletin du 13 décembre 2023 sur l’existence d’une preuve de concept en sources ouvertes et de la possible exploitation de la vulnérabilité.
Bulletin du CERT
CVE-2023-50164
Publié le 18 décembre 2023