近日,國家信息安全漏洞庫(CNNVD)收到關于Apache Struts2 安全漏洞(CNNVD-202312-641、CVE-2023-50164)情況的報送。成功利用漏洞的攻擊者,可向目標服務器上傳惡意文件,導致遠程代碼執行。Apache Struts2 2.5.0-2.5.33版本,Apache Struts2 6.0.0-6.3.0版本均受此漏洞影響。目前,Apache官方已發布新版本修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。

一、漏洞介紹

Apache Struts2是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目中的一個子項目,是一個基于MVC設計的Web應用框架。漏洞源于文件上傳邏輯存在缺陷,攻擊者可利用上傳文件參數啟動路徑遍歷,上傳惡意文件,進而導致遠程代碼執行。

二、危害影響

成功利用漏洞的攻擊者,可向目標服務器上傳惡意文件,導致遠程代碼執行。Apache Struts2 2.5.0-2.5.33版本,Apache Struts2 6.0.0-6.3.0版本均受此漏洞影響。

三、修復建議

目前,Apache官方已發布新版本修復了該漏洞,建議用戶及時確認產品版本,盡快采取修補措施。官方參考鏈接:

https://struts.apache.org/download.cgi

本通報由CNNVD技術支撐單位——新華三技術有限公司、博智安全科技股份有限公司、內蒙古旌云科技有限公司、北京安天網絡安全技術有限公司、深圳昂楷科技有限公司、網宿科技股份有限公司、湖北肆安科技有限公司、杭州默安科技有限公司、北京山石網科信息技術有限公司、奇安信網神信息技術(北京)股份有限公司、杭州安恒信息技術股份有限公司、福建銀數信息技術有限公司等技術支撐單位提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn

安全漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接