S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 décembre 2023
N° CERTFR-2023-ALE-013
Affaire suivie par: CERT-FR
le 13 décembre 2023

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilité dans Apache Struts 2

Gestion du document

Référence CERTFR-2023-ALE-013
Titre Vulnérabilité dans Apache Struts 2
Date de la première version 13 décembre 2023
Date de la dernière version 16 février 2024
Source(s) Bulletin de sécurité Struts 2 s2-066 du 04 décembre 2023
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Struts versions 2.x antérieures à 2.5.33
  • Struts versions 6.x antérieures à 6.3.0.2

Résumé

Le 4 décembre 2023, Apache a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilité permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à distance.

Le 12 décembre 2023, un premier code d'exploitation a été publié publiquement et le CERT-FR a connaissance de tentatives d'exploitation.

Il est urgent d'effectuer la mise à jour des applications s'appuyant sur le cadriciel Struts dans les plus brefs délais, car le CERT-FR anticipe des tentatives d'exploitation en masse de la vulnérabilité CVE-2023-50164.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 décembre 2023
    Version initiale
    le 16 février 2024
    Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.