{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Struts versions 2.x ant\u00e9rieures \u00e0 2.5.33","product":{"name":"Struts","vendor":{"name":"Apache","scada":false}}},{"description":"Struts versions 6.x ant\u00e9rieures \u00e0 6.3.0.2","product":{"name":"Struts","vendor":{"name":"Apache","scada":false}}}],"affected_systems_content":"","closed_at":"2024-02-16","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2023-50164","url":"https://www.cve.org/CVERecord?id=CVE-2023-50164"}],"links":[{"title":"Avis CERT-FR CERTFR-2023-AVI-1005 du 07 d\u00e9cembre 2023","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-1005/"}],"reference":"CERTFR-2023-ALE-013","revisions":[{"description":"Version initiale","revision_date":"2023-12-13T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-02-16T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<span id=\"p14\">Le 4 d\u00e9cembre 2023, Apache a publi\u00e9 un avis de s\u00e9curit\u00e9\nconcernant la vuln\u00e9rabilit\u00e9 critique <span id=\"19\"\nclass=\"s-rg\">CVE-2023-50164</span> concernant le cadriciel <span id=\"20\"\nclass=\"s-rg\">Struts</span> 2.</span><span id=\"p15\"> Cette vuln\u00e9rabilit\u00e9\npermet \u00e0 un attaquant non authentifi\u00e9 de t\u00e9l\u00e9verser une porte d\u00e9rob\u00e9e\nsur un serveur vuln\u00e9rable, et ainsi ex\u00e9cuter du code arbitraire \u00e0\ndistance.</span>\n\n<span id=\"p16\">Le 12 d\u00e9cembre 2023, un premier code d'exploitation a \u00e9t\u00e9\npubli\u00e9 publiquement et l</span><span id=\"p17\">e <span id=\"21\"\nclass=\"s-rg\">CERT-FR</span> a connaissance de tentatives\nd'exploitation.</span>\n\n<span id=\"p18\">Il est urgent d'effectuer la mise \u00e0 jour des applications\ns'appuyant sur le cadriciel Struts dans les plus brefs d\u00e9lais, car le\n<span id=\"24\">CERT-FR</span> anticipe des tentatives d'exploitation en\nmasse de la vuln\u00e9rabilit\u00e9 <span id=\"25\">CVE-2023-50164</span>.</span>\n","title":"Vuln\u00e9rabilit\u00e9 dans Apache Struts 2","vendor_advisories":[{"published_at":"2023-12-04","title":"Bulletin de s\u00e9curit\u00e9 Struts 2 s2-066","url":"https://cwiki.apache.org/confluence/display/WW/s2-066"}]}