【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)

admin 2023年12月11日14:53:03评论39 views字数 581阅读1分56秒阅读模式

202312月4Apache  CVE-2023-50164 Apache Struts2 目录遍历漏洞。

01


Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2023年12月,官方披露 CVE-2023-50164 Apache Struts 目录遍历漏洞。

攻击者可以通过污染相关上传参数导致目录遍历,若在具体代码环境中允许上传危险后缀文件(例如 jsp文件),则攻击者可能结合该目录遍历漏洞,可能导致上传webshell 至可解析目录,执行任意代码。


02


CVE-2023-50164 Apache Struts2 目录遍历漏洞 高危

需要结合实际代码写法以及环境方可利用


03


Apache Struts 2.5.33

Apache Struts 6.3.0.2


04


1级 Struts2 

2已于 2023.12.4 测。


05


https://avd.aliyun.com/detail?id=AVD-2023-50164

https://cwiki.apache.org/confluence/display/WW/S2-066



原文始发于微信公众号(阿里云应急响应):【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日14:53:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)https://cn-sec.com/archives/2286879.html

发表评论

匿名网友 填写信息