​【漏洞预警】Apache Struts文件上传组件存在目录遍历漏洞(CVE-2023-50164)风险提示
发布人: 李雪娇 发布时间: 2023-12-12 作者: 访问次数: 27

【安全通告】

近日,监测到Apache Struts文件上传组件存在目录遍历漏洞(CVE-2023-50164)。攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下这可能会导致上传用于执行远程代码的恶意文件。

该漏洞危害性高,建议客户尽快做好自查及防护。

 

【漏洞信息】

披露时间2023年1207日

Apache Struts是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持RESTAJAX和JSON的插件。

漏洞标题

Apache Struts文件上传组件存在目录遍历漏洞

应急响应等级

1 

漏洞类型

路径遍历

影响目标

影响厂商

Apache

影响产品

Struts

影响版本

2.0.0,2.5.32][6.0.0 ,6.3.0.1]

安全版本

2,5.33

6.3.0.2

漏洞编号

CVE 编号

DM-2023-50164

CNVD 编号

未分配

CNNVD 编号

未分配

安恒 CERT 编号

DM-202312-000982

漏洞标签

WEB 应用,开发框架

CVSS3.1 评分

9.8(安恒自评)

危害等级   

高危

CVSS 向量

访问途径(AV

网络

攻击复杂度(AC

所需权限(PR

无需任何权限

用户交互(UI

不需要用户交互

影响范围(S

不变

机密性影响(C

完整性影响(I

可用性影响(A

威胁状态

Poc 情况

未发现

Exp 情况

未发现

在野利用

未发现

研究情况

分析中

舆情热度

公众号

Twitter

微博

【修复方案】

官方修复方案:

官方已发布新版本修复漏洞,建议尽快升级到修复版本。

https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.3.0.2

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.33