CVE-2024-53677

Nome do software vulnerável e versões afetadas: Apache Struts versões 2.0.0 a 2.3.37, 2.5.0 a 2.5.33 e 6.0.0 a 6.3.0.2.

Existe uma falha crítica na lógica de upload de arquivos do Apache Struts. Um invasor pode manipular parâmetros de upload de arquivos para permitir o traversal de caminho, levando potencialmente ao upload de um arquivo malicioso e à subsequente execução remota de código (RCE). A exploração está ocorrendo ativamente na natureza, com exploits de prova de conceito disponíveis. A exploração bem-sucedida poderia permitir que um invasor instalasse programas, visualizasse, alterasse ou excluísse dados, ou criasse novas contas com direitos de usuário plenos, dependendo dos privilégios da conta de serviço afetada.

Atualize para a versão 6.4.0 ou posterior e migre para o novo mecanismo de upload de arquivos. Se estiver utilizando uma configuração que não use o FileUploadInterceptor, o aplicativo não está vulnerável.