【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)
2023-12-11 11:14:26 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏
2023-12-11 11:14:26 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏
2023年12月4日,Apache 官方披露 CVE-2023-50164 Apache Struts2 目录遍历漏洞。
01
漏洞描述
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2023年12月,官方披露 CVE-2023-50164 Apache Struts 目录遍历漏洞。
攻击者可以通过污染相关上传参数导致目录遍历,若在具体代码环境中允许上传危险后缀文件(例如 jsp文件),则攻击者可能结合该目录遍历漏洞,可能导致上传webshell 至可解析目录,执行任意代码。
02
漏洞评级
CVE-2023-50164 Apache Struts2 目录遍历漏洞 高危
需要结合实际代码写法以及环境方可利用
03
Apache Struts 2.5.33
Apache Struts 6.3.0.2
04
安全建议
1、升级 Struts2 至安全版本及其以上。
2、阿里云云安全中心应用漏洞已于 2023.12.4 支持该漏洞检测。
05
相关链接
https://avd.aliyun.com/detail?id=AVD-2023-50164
https://cwiki.apache.org/confluence/display/WW/S2-066
文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MzY2MzM0Mw==&mid=2247486289&idx=1&sn=2a1ca045522f4a624989ae44310bb7f5&chksm=ec6fec51db1865473113195ab03c96e2f633346543b6b712415b0ea502047d61405a93b19bd6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh