Hoppa yfir valmynd

Alvarlegir veikleikar í Apache Struts 2 og WordPress Backup Migration

13. des. 2023

Tilkynnt var um nokkra alvarlega veikleika í Apache Struts 2 hjá Apache og Backup Migration hjá WordPress. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.

Alvarlegir veikleikar (e. critical)

Apache Struts 2

Apache hefur gefið út uppfærslu [1] vegna alvarlegs veikleika sem að hefur áhrif á Apache Struts 2. Veikleikinn CVE-2023-50164 (hefur ekki enn fengið CVSSv3 einkunn [2]) felur í sér flökkun á milli skráarsafna (e. Path traversal) og undir sumum kringumstæðum upphleðslu skaðlegrar skráar (e. uploading a malicious file) sem að hægt er að notfæra til fjarkeyrslu kóða (e. Remote code execution).

mynd

WordPress Backup Migration

Wordpress plugin Backup Migration hefur gefið út uppfærslu [3] vegna veikleika sem að gerir tölvuþrjótum kleift að fjarkeyra kóða (e. Gain remote code execution). Veikleikinn CVE-2023-6553 er með CVSSv3 einkunn 9.8.

Eftirfarandi kerfi eru veik fyrir göllunum:

Apache Struts 2: 2.3.37, 2.5.0 - 2.5.32, 6.0.0 - 6.3.0 
Backup Migration: 1.3.6 eða eldra 

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum: 

Apache Struts 2: 2.5.33 eða nýrra, 6.3.0.2 eða nýrra 
Backup Migration: 1.3.8 eða nýrra 

Tilvísanir:

[1] https://thehackernews.com/2023/12/new-critical-rce-vulnerability.html

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-50164

[3] https://www.bleepingcomputer.com/news/security/50k-wordpress-sites-exposed-to-rce-attacks-by-critical-bug-in-backup-plugin