CVE-2023-50164:Apache Struts 代码执行漏洞通告

admin 2023年12月9日16:01:29评论18 views字数 754阅读2分30秒阅读模式

报告编号:CERT-R-2023-575

报告来源:360CERT

报告作者:360CERT

更新日期:2023-12-08

1 漏洞简述

2023年12月08日,360CERT监测发现Apache发布了Struts的风险通告,漏洞编号为CVE-2023-50164,漏洞等级:高危,漏洞评分:8.1

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。

对此,360CERT建议广大用户及时请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值
利用难度
360CERT评分 8.1
3 漏洞详情

CVE-2023-50164 任意代码执行漏洞

组件: Apache:Struts

漏洞类型: 程序逻辑错误

实际影响: 任意代码执行

主要影响: 服务器接管

简述: 该漏洞存在于Apache Struts中,是一个代码执行漏洞。攻击者可以操纵文件上传参数来执行路径遍历,进而上传可用于执行远程代码执行的恶意文件。

4 影响版本

CVE-2023-50164

组件 影响版本 安全版本
Apache:Struts 2.5.0 ~ 2.5.32 >= 2.5.33
Apache:Struts 6.0.0 ~ 6.3.0 >= 6.3.0.2
5修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本,或直接访问参考链接获取官方更新指南。

7 时间线

2023年12月04日 Apache官方发布通告

2023年12月08日 360CERT发布通告

8 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-066

原文始发于微信公众号(三六零CERT):CVE-2023-50164:Apache Struts 代码执行漏洞通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月9日16:01:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2023-50164:Apache Struts 代码执行漏洞通告https://cn-sec.com/archives/2282142.html

发表评论

匿名网友 填写信息