【安全通告】
近日,监测到Apache Struts文件上传组件存在目录遍历漏洞(CVE-2023-50164)。攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下这可能会导致上传用于执行远程代码的恶意文件。
该漏洞危害性高,建议客户尽快做好自查及防护。
【漏洞信息】
披露时间2023年12月07日
Apache Struts是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持REST、AJAX和JSON的插件。
漏洞标题 | Apache Struts文件上传组件存在目录遍历漏洞 | ||
应急响应等级 | 1 级 | ||
漏洞类型 | 路径遍历 | ||
影响目标 | 影响厂商 | Apache | |
影响产品 | Struts | ||
影响版本 | 2.0.0,2.5.32][6.0.0 ,6.3.0.1] | ||
安全版本 | 2,5.33 6.3.0.2 | ||
漏洞编号 | CVE 编号 | DM-2023-50164 | |
CNVD 编号 | 未分配 | ||
CNNVD 编号 | 未分配 | ||
安恒 CERT 编号 | DM-202312-000982 | ||
漏洞标签 | WEB 应用,开发框架 | ||
CVSS3.1 评分 | 9.8(安恒自评) | 危害等级 | 高危 |
CVSS 向量 | 访问途径(AV) | 网络 | |
攻击复杂度(AC) | 低 | ||
所需权限(PR) | 无需任何权限 | ||
用户交互(UI) | 不需要用户交互 | ||
影响范围(S) | 不变 | ||
机密性影响(C) | 高 | ||
完整性影响(I) | 高 | ||
可用性影响(A) | 高 | ||
威胁状态 | Poc 情况 | 未发现 | |
Exp 情况 | 未发现 | ||
在野利用 | 未发现 | ||
研究情况 | 分析中 | ||
舆情热度 | 公众号 | 低 | |
低 | |||
微博 | 低 | ||
【修复方案】
官方修复方案:
官方已发布新版本修复漏洞,建议尽快升级到修复版本。
https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.3.0.2
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.33
