Tilkynnt var um nokkra alvarlega veikleika í Apache Struts 2 hjá Apache og Backup Migration hjá WordPress. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
Apache Struts 2
Apache hefur gefið út uppfærslu [1] vegna alvarlegs veikleika sem að hefur áhrif á Apache Struts 2. Veikleikinn CVE-2023-50164 (hefur ekki enn fengið CVSSv3 einkunn [2]) felur í sér flökkun á milli skráarsafna (e. Path traversal) og undir sumum kringumstæðum upphleðslu skaðlegrar skráar (e. uploading a malicious file) sem að hægt er að notfæra til fjarkeyrslu kóða (e. Remote code execution). 
WordPress Backup Migration
WordPress plugin Backup Migration hefur gefið út uppfærslu [3] vegna veikleika sem að gerir tölvuþrjótum kleift að fjarkeyra kóða (e. Gain remote code execution). Veikleikinn CVE-2023-6553 er með CVSSv3 einkunn 9.8.
Eftirfarandi kerfi eru veik fyrir göllunum:
Apache Struts 2: 2.3.37, 2.5.0 – 2.5.32, 6.0.0 – 6.3.0
Backup Migration: 1.3.6 eða eldra
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Apache Struts 2: 2.5.33 eða nýrra, 6.3.0.2 eða nýrra
Backup Migration: 1.3.8 eða nýrra
Tilvísanir:
[1] https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html
