CERTFR-2023-ALE-013
Vulnerability from certfr_alerte

Le 4 décembre 2023, Apache a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilité permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.

Le 12 décembre 2023, un premier code d'exploitation a été publié publiquement et le CERT-FR a connaissance de tentatives d'exploitation.

Il est urgent d'effectuer la mise à jour des applications s'appuyant sur le cadriciel Struts dans les plus brefs délais, car le CERT-FR anticipe des tentatives d'exploitation en masse de la vulnérabilité CVE-2023-50164.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Apache Struts Struts versions 2.x antérieures à 2.5.33
Apache Struts Struts versions 6.x antérieures à 6.3.0.2
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Struts versions 2.x ant\u00e9rieures \u00e0 2.5.33",
      "product": {
        "name": "Struts",
        "vendor": {
          "name": "Apache",
          "scada": false
        }
      }
    },
    {
      "description": "Struts versions 6.x ant\u00e9rieures \u00e0 6.3.0.2",
      "product": {
        "name": "Struts",
        "vendor": {
          "name": "Apache",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2024-02-16",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2023-50164",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-50164"
    }
  ],
  "initial_release_date": "2023-12-13T00:00:00",
  "last_revision_date": "2024-02-16T00:00:00",
  "links": [
    {
      "title": "Avis CERT-FR CERTFR-2023-AVI-1005 du 07 d\u00e9cembre 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-1005/"
    }
  ],
  "reference": "CERTFR-2023-ALE-013",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-12-13T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-02-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan id=\"p14\"\u003eLe 4 d\u00e9cembre 2023, Apache a publi\u00e9 un avis de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9 critique \u003cspan id=\"19\"\nclass=\"s-rg\"\u003eCVE-2023-50164\u003c/span\u003e concernant le cadriciel \u003cspan id=\"20\"\nclass=\"s-rg\"\u003eStruts\u003c/span\u003e 2.\u003c/span\u003e\u003cspan id=\"p15\"\u003e Cette vuln\u00e9rabilit\u00e9\npermet \u00e0 un attaquant non authentifi\u00e9 de t\u00e9l\u00e9verser une porte d\u00e9rob\u00e9e\nsur un serveur vuln\u00e9rable, et ainsi ex\u00e9cuter du code arbitraire \u00e0\ndistance.\u003c/span\u003e\n\n\u003cspan id=\"p16\"\u003eLe 12 d\u00e9cembre 2023, un premier code d\u0027exploitation a \u00e9t\u00e9\npubli\u00e9 publiquement et l\u003c/span\u003e\u003cspan id=\"p17\"\u003ee \u003cspan id=\"21\"\nclass=\"s-rg\"\u003eCERT-FR\u003c/span\u003e a connaissance de tentatives\nd\u0027exploitation.\u003c/span\u003e\n\n\u003cspan id=\"p18\"\u003eIl est urgent d\u0027effectuer la mise \u00e0 jour des applications\ns\u0027appuyant sur le cadriciel Struts dans les plus brefs d\u00e9lais, car le\n\u003cspan id=\"24\"\u003eCERT-FR\u003c/span\u003e anticipe des tentatives d\u0027exploitation en\nmasse de la vuln\u00e9rabilit\u00e9 \u003cspan id=\"25\"\u003eCVE-2023-50164\u003c/span\u003e.\u003c/span\u003e\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Apache Struts 2",
  "vendor_advisories": [
    {
      "published_at": "2023-12-04",
      "title": "Bulletin de s\u00e9curit\u00e9 Struts 2 s2-066",
      "url": "https://cwiki.apache.org/confluence/display/WW/s2-066"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.