Résumé

Le 4 décembre 2023, Apache a publié un avis de sécuritéconcernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilitépermet à un attaquant non authentifié de téléverser une porte dérobéesur un serveur vulnérable, et ainsi exécuter du code arbitraire àdistance.

Le 12 décembre 2023, un premier code d'exploitation a étépublié publiquement et le CERT-FR a connaissance de tentativesd'exploitation.

Il est urgent d'effectuer la mise à jour des applicationss'appuyant sur le cadriciel Struts dans les plus brefs délais, car leCERT-FR anticipe des tentatives d'exploitation enmasse de la vulnérabilité CVE-2023-50164.