【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告

admin
admin
admin
102415
文章
87
评论
2023年12月10日09:35:30评论25 views字数 498阅读1分39秒阅读模式
漏洞背景

Apache Struts2存在远程代码执行漏洞,漏洞编号为:CVE-2023-50164。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详
经研判,该漏为高危漏洞。该漏洞是由于文件上传逻辑存在缺陷,攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件。
危害影响
影响版本

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修复建议
根据影响版本中的信息,建议相关用户将Apache Struts2升级至2.5.33、6.3.0.2及以上版本,参考链接:

https://struts.apache.org/download.cgi

原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日09:35:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告http://cn-sec.com/archives/2280457.html

发表评论

匿名网友 填写信息