Apache 软件基金会周末宣布了安全更新,解决了 Struts 2 开源开发框架中的一个严重性文件上传漏洞,并警告称该漏洞可能被利用来远程执行任意代码。
该问题编号为CVE-2023-50164,被描述为文件上传逻辑中的缺陷,可能允许“攻击者启用具有遍历的路径”。尚未公布任何技术细节。
Apache 在其公告中解释道:“攻击者可以操纵文件上传参数来实现路径遍历,在某些情况下,这可能会导致上传可用于执行远程代码执行的恶意文件。”
2023 年 12 月 7 日 - Apache Struts 版本 6.3.0.2 正式发布Apache Struts 小组很高兴地宣布 Apache Struts 版本 6.3.0.2 作为“通用”版本提供。GA 称号是我们的最高质量等级。 Apache Struts 是一个优雅的、可扩展的框架,用于创建企业级 Java Web 应用程序。该框架旨在简化整个开发周期,从构建、部署到维护应用程序。 此版本解决了识别为CVE-2023-50164并在S2-066中描述的潜在安全漏洞- 请阅读提到的安全公告以了解更多详细信息。这是直接替换,升级应该很简单。
强烈建议所有开发人员执行此升级。 Apache Struts 框架 6.x 系列最低要求以下规范版本:Servlet API 3.1、JSP API 2.1 和 Java 8。 如果您在使用任何版本的 Struts 框架时出现任何问题,请将您的评论发布到用户列表中,并在适当的情况下提交跟踪单。 |
据该组织称,该错误影响 Struts 版本 2.0.0 至 2.3.37(已终止生命周期)、Struts 版本 2.5.0 至 2.5.32 以及 Struts 版本 6.0.0 至 6.3.0。
该漏洞已随着 Struts 2.5.33 和 6.3.0.2 版本的发布而修复。
Apache 称赞 Source Incite 的 Steven Seeley 报告了该漏洞。研究人员建议所有 Struts 2 用户更新到已修补的版本。
在另一份声明中,Apache 敦促所有用户更新到最新的 Web 应用程序框架版本,并指出执行升级时不应出现任何问题。
“这是一个直接替换,升级应该很简单。强烈建议所有开发人员执行此升级,”该组织表示。
Apache 没有提及该漏洞被用于恶意攻击,但 Struts 缺陷已成为攻击目标,包括针对美国信用报告机构 Equifax 的攻击。
原文始发于微信公众号(河南等级保护测评):Apache 修补 Struts 2 中的关键 RCE 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论