Sicherheitsupdate Apache Struts: Uploadfunktion kann Schadcode passieren lassen
Eine kritische Schwachstelle bedroht das Open-Source-Framework Apache Struts.
(Bild: Tatiana Popova/Shutterstock.com)
Wenn Angreifer erfolgreich eine Sicherheitslücke im Webframework Apache Struts ausnutzen, können sie Schadcode auf Systemen ausführen. Eine reparierte Version löst das Sicherheitsproblem.
In einer Warnmeldung stufen die Entwickler die Lücke (CVE-2023-50164) als "kritisch" ein. Durch das Ausnutzen der Path-Traversal-Schwachstelle können Angreifer Upload-Parameter manipulieren und so unter bestimmten, nicht näher ausgeführten Umständen eigenen Code ausführen. Das führt in der Regel dazu, dass Systeme als vollständig kompromittiert gelten. Wie so eine Attacke ablaufen könnte und ob es bereits Angriffe gibt, ist derzeit nicht bekannt.
Davon sind die folgenden Apache-Struts-Versionen betroffen:
- 2.0.0 - 2.3.37 (EOL)
- 2.5.0 - 2.5.32
- 6.0.0 - 6.3.0
Die Entwickler geben an, die Lücke in Ausgaben 2.5.33 und 6.3.0.2 geschlissen zu haben.
(des)
