Una grave vulnerabilidad, identificada como CVE-2024-53677, ha sido detectada en Apache Struts2, un popular framework de desarrollo web en Java. Esta falla permite a atacantes cargar archivos en directorios restringidos, lo que podría derivar en la ejecución remota de código (RCE) en condiciones específicas.

Con una puntuación de 9.5 en la escala CVSS, esta vulnerabilidad ha generado preocupación en la comunidad de ciberseguridad. Desde la publicación de la corrección el 11 de diciembre de 2024, se han registrado cerca de 40,000 descargas de componentes vulnerables desde Maven Central, representando el 90.4% de las descargas totales de Struts2 en la última semana. Esto subraya la urgencia de que las organizaciones actualicen sus sistemas para mitigar posibles riesgos.

La vulnerabilidad se origina en una falla de recorrido de directorios (o path traversal) en el mecanismo de subida de archivos de Struts2, permitiendo a actores malintencionados cargar archivos en ubicaciones no autorizadas. Este problema se relaciona con fallos similares identificados previamente, lo que sugiere que parches incompletos podrían haber contribuido a su aparición.

La solución propuesta por Apache implica adoptar un nuevo interceptor de subida de archivos, denominado 'Action File Upload', y actualizar a Struts versión 6.4.0 o superior. Es importante destacar que esta solución no es retrocompatible, lo que requiere actualizaciones significativas y modificaciones en el código para garantizar la seguridad completa. El uso del antiguo interceptor 'File Upload Interceptor' se desaconseja firmemente, ya que mantiene las aplicaciones en riesgo de explotación.

Se recomienda encarecidamente a todas las organizaciones que utilicen Apache Struts2 revisar sus sistemas y proceder con las actualizaciones necesarias para proteger sus aplicaciones contra posibles ataques que exploten esta vulnerabilidad crítica.