OKIOK – Securité dans un monde en changement

Bulletin de sécurité:  Vulnérabilité CVE-2023-50164 – Struts 2 – RAC/M Identity


RAC/M Identity™ est notre solution de gouvernance des identités (GIA) simple et efficace qui permet aux grandes et petites entreprises de comprendre et de gérer les relations complexes entre les utilisateurs et leurs accès aux ressources physiques et numériques, sur site ou dans l’infonuagique.

Une vulnérabilité impactant Struts 2 a été annoncé le 7 décembre 2023. Cette vulnérabilité permet de manipuler le nom d’un fichier téléversé pour échapper au répertoire des téléchargements (« Path traversal »). Une application qui utilise le nom du fichier téléversé pour le sauvegarder permet d’écrire à un endroit arbitraire sur le disque suite à un téléversement (« Upload »). Ceci pourrait permettre à un attaquant d’exécuter du code sur une machine vulnérable.

Suite à l’investigation, RAC/M Identity utilise la fonctionnalité de « File Upload » de Struts 2, mais n’utilise pas le nom du fichier envoyé pour écrire le fichier. L’application n’est donc pas vulnérable.

Référence :

CVE: CVE-2023-50164 (https://nvd.nist.gov/vuln/detail/CVE-2023-50164)

L’équipe de support OKIOK

 

N’hésitez pas à communiquer avec notre groupe de soutien si vous avez des questions concernant ce bulletin de sécurité : support@okiok.com

Quitter la version mobile