Alert!

Jetzt patchen! Angreifer nutzen kritische Sicherheitslücke in Apache Struts aus

Die Uploadfunktion von Apache Struts ist fehlerhaft und Angreifer können Schadcode hochladen. Sicherheitsforscher warnen vor Attacken.

2

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

18.12.2024, 11:04 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Derzeit attackieren Angreifer das Open-Source-Framework Apache Struts. Admins sollten unverzüglich die dagegen abgesicherte Version installieren. Nach erfolgreichen Attacken gelangt Schadcode auf Systeme und kompromittiert diese.

Sicherheitsupdate verfügbar

In einer Warnmeldung geben die Entwickler an, die "kritische" Schwachstelle (CVE-2024-53677) in Apache Struts 6.4.0 geschlossen zu haben. In anderen Versionen können Angreifer den Entwicklern zufolge Upload-Parameter manipulieren, um über eine Path-Traversal-Attacke Schadcode hochzuladen und auszuführen.

Mittlerweile ist das keine Theorie mehr und ein Sicherheitsforscher des Internet Strom Centers warnt vor laufenden Attacken. Ähnliche Angriffe gab es bereits Ende 2023 (CVE-2023-50164 "kritisch"). Offensichtlich war der Patch damals nicht ausreichend.