2023年12月4日,Apache 官方披露 CVE-2023-50164 Apache Struts2 目录遍历漏洞。
01
漏洞描述
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2023年12月,官方披露 CVE-2023-50164 Apache Struts 目录遍历漏洞。
攻击者可以通过污染相关上传参数导致目录遍历,若在具体代码环境中允许上传危险后缀文件(例如 jsp文件),则攻击者可能结合该目录遍历漏洞,可能导致上传webshell 至可解析目录,执行任意代码。
02
漏洞评级
CVE-2023-50164 Apache Struts2 目录遍历漏洞 高危
需要结合实际代码写法以及环境方可利用
03
Apache Struts 2.5.33
Apache Struts 6.3.0.2
04
安全建议
1、升级 Struts2 至安全版本及其以上。
2、阿里云云安全中心应用漏洞已于 2023.12.4 支持该漏洞检测。
05
相关链接
https://avd.aliyun.com/detail?id=AVD-2023-50164
https://cwiki.apache.org/confluence/display/WW/S2-066
原文始发于微信公众号(阿里云应急响应):【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论