豆豆小说阅读网,有声读物

【漏洞通告】Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-50164)

安全通告

Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警通告

發(fā)布日期：2023-12–07

漏洞描述

2023年12月07日公司監(jiān)測(cè)到Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-50164)情報(bào)。Apache Struts2框架是一個(gè)用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架，它本質(zhì)上相當(dāng)于一個(gè)servlet，在MVC設(shè)計(jì)模式中，Struts2作為控制器(Controller)來(lái)建立模型與視圖的數(shù)據(jù)交互該漏洞是由于文件上傳邏輯存在缺陷，攻擊者可以操縱文件上傳參數(shù)來(lái)啟用路徑遍歷，在某些情況下，這可能導(dǎo)致上傳可用于執(zhí)行遠(yuǎn)程代碼執(zhí)行的惡意文件。

漏洞編號(hào)

CVE-2023-50164

漏洞危害

由于文件上傳邏輯存在缺陷，攻擊者可以通過操縱文件上傳參數(shù)來(lái)啟用路徑遍歷，在某些情況下，可能導(dǎo)致上傳可用于執(zhí)行遠(yuǎn)程代碼執(zhí)行的惡意文件。

漏洞等級(jí)

高危

受影響版本

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修復(fù)方案

目前該漏洞已經(jīng)修復(fù)，官方已經(jīng)發(fā)布了安全版本，受影響的用戶建議立即更新到安全版本。

安全版本：

Apache Struts2 >= 2.5.33

Apache Struts2 >= 6.3.0.2

官方下載地址：

https://struts.apache.org/download.cgi

參考鏈接

https://cwiki.apache.org/confluence/display/WW/S2-066

漏洞播報(bào)

【漏洞通告】Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-50164)

聯(lián)系我們：cert@chaosec.com