【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告

2023年12月10日09:35:30评论34 views字数 498阅读1分39秒阅读模式

漏洞背景

Apache Struts2存在远程代码执行漏洞，漏洞编号为：CVE-2023-50164。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详

经研判，该漏为高危漏洞。该漏洞是由于文件上传逻辑存在缺陷，攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

危害影响

影响版本

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修复建议

根据影响版本中的信息，建议相关用户将Apache Struts2升级至2.5.33、6.3.0.2及以上版本，参考链接：

https://struts.apache.org/download.cgi

原文始发于微信公众号（嘉诚安全）：【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

本文由 admin 发表于 2023年12月10日09:35:30
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【漏洞通告】Apache Struts2 远程代码执行漏洞安全风险通告https://cn-sec.com/archives/2280457.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Argo Events权限管理不当漏洞