最近,亚信安全CERT通过监控发现,Apache官方披露了Apache Struts 代码执行漏洞(CVE-2023-50164)。攻击者可以利用文件上传参数进行路径遍历,并在某些情况下上传恶意文件,从而执行任意代码。
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
考虑到此安全漏洞的存在,厂商已迅速发布修复版本。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新,并参照官方提供的修复方案迅速采取相关措施。为确保资产的安全,建议用户进行资产自查和预防工作,以免遭受潜在的黑客攻击。
漏洞编号、等级和类型
-
CVE-2023-50164
-
高危
-
代码执行
漏洞状态
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
未公开 | 未公开 | 未公开 | 未发现 |
受影响版本
-
2.5.0 <= Struts <= 2.5.32
-
6.0.0 <= Struts <= 6.3.0
修复建议
目前,官方已有可更新版本,建议用户尽快升级至Struts 2.5.33或Struts 6.3.0.2或更高版本:
-
https://struts.apache.org/download.cgi#struts-ga
参考链接
-
https://cwiki.apache.org/confluence/display/WW/S2-066
-
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
-
https://www.openwall.com/lists/oss-security/2023/12/07/1