【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告

admin 2023年12月10日02:34:58评论570 views字数 1007阅读3分21秒阅读模式

【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告

-赛博昆仑漏洞安全通告-

Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告


漏洞描述

Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。
近日,赛博昆仑CERT监测到Apache Struts 文件上传漏洞(CVE-2023-50164)的漏洞情报。攻击者可能会利用该漏洞执行路径遍历。成功利用该漏洞可能使攻击者能够上传恶意文件,从而导致远程代码执行。
漏洞名称

Apache Struts 文件上传漏洞

漏洞公开编号

CVE-2023-50164

昆仑漏洞库编号

CYKL-2023-018713

漏洞类型

文件上传

公开时间

2023-12-07

漏洞等级

高危

评分

7.5

漏洞所需权限

无权限要求

漏洞利用难度

PoC状态

未知

EXP状态

未知

漏洞细节

未知

在野利用

未知

影响版本
2.0.0 <= Apache Struts <= 2.3.37
2.5.0 <= Apache Struts <= 2.5.32
6.0.0 <= Apache Struts <= 6.3.0.1
利用条件

需要根据不同环境定制不同的POC

漏洞复现

目前赛博昆仑CERT已确认漏洞原理,复现截图如下:

复现版本为 Apache Struts 2.5.32

【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告

防护措施
  • 修复措施
目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。
下载地址:https://struts.apache.org/download.cgi
技术咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。

联系邮箱:[email protected]
公众号:赛博昆仑CERT
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-066
时间线

2023年12月07日,官方发布通告

2023年12月09日,赛博昆仑CERT公众号发布漏洞风险通告

    【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告

原文始发于微信公众号(赛博昆仑CERT):【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月10日02:34:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【复现】 Apache Struts 文件上传漏洞(CVE-2023-50164)风险通告https://cn-sec.com/archives/2283867.html

发表评论

匿名网友 填写信息