【漏洞通告】Apache Struts2 远程代码执行漏洞(CVE-2023-50164)

安全通告

Apache Struts2 远程代码执行漏洞预警通告

发布日期2023-1207

 

漏洞描述

2023年12月07日公司监测到Apache Struts2 远程代码执行漏洞(CVE-2023-50164)情报。Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互该漏洞是由于文件上传逻辑存在缺陷,攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件。

漏洞编号

CVE-2023-50164

漏洞危害

由于文件上传逻辑存在缺陷,攻击者可以通过操纵文件上传参数来启用路径遍历,在某些情况下,可能导致上传可用于执行远程代码执行的恶意文件。

漏洞等级

高危

受影响版本

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修复方案

目前该漏洞已经修复,官方已经发布了安全版本,受影响的用户建议立即更新到安全版本。

安全版本:

Apache Struts2 >= 2.5.33

Apache Struts2 >= 6.3.0.2

官方下载地址:

https://struts.apache.org/download.cgi

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-066