【漏洞预警】Apache Struts2 远程代码执行漏洞CVE-2023-50164

admin 2023年12月7日22:36:24评论246 views字数 588阅读1分57秒阅读模式

【漏洞预警】Apache Struts2 远程代码执行漏洞CVE-2023-50164

漏洞描述:

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。近日监测到Apache Struts2发布安全公告,其中公开了一个远程代码执行漏洞,由于文件上传逻辑存在缺陷,可能导致上传可用于执行远程代码执行的恶意文件,该漏洞是由于文件上传逻辑存在缺陷,攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件。

影响版本:
2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修复建议:

正式防护方案:

官方已经发布了安全版本,如有受影响的用户建议立即更新到安全版本


安全版本:
Apache Struts2 >= 2.5.33

Apache Struts2 >= 6.3.0.2

官方下载地址:https://struts.apache.org/download.cgi 或修改项目依赖配置文件中的版本信息

参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-066

原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Struts2 远程代码执行漏洞CVE-2023-50164

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月7日22:36:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Apache Struts2 远程代码执行漏洞CVE-2023-50164http://cn-sec.com/archives/2277117.html

发表评论

匿名网友 填写信息