【风险通告】Apache Struts2 目录遍历漏洞(CVE-2023-50164)
2023-12-11 11:14:26 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

202312月4Apache  CVE-2023-50164 Apache Struts2 目录遍历漏洞。

01

Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2023年12月,官方披露 CVE-2023-50164 Apache Struts 目录遍历漏洞。

攻击者可以通过污染相关上传参数导致目录遍历,若在具体代码环境中允许上传危险后缀文件(例如 jsp文件),则攻击者可能结合该目录遍历漏洞,可能导致上传webshell 至可解析目录,执行任意代码。

02

CVE-2023-50164 Apache Struts2 目录遍历漏洞 高危

需要结合实际代码写法以及环境方可利用

03

Apache Struts 2.5.33

Apache Struts 6.3.0.2

04

1级 Struts2 

2已于 2023.12.4 测。

05

https://avd.aliyun.com/detail?id=AVD-2023-50164

https://cwiki.apache.org/confluence/display/WW/S2-066


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MzY2MzM0Mw==&mid=2247486289&idx=1&sn=2a1ca045522f4a624989ae44310bb7f5&chksm=ec6fec51db1865473113195ab03c96e2f633346543b6b712415b0ea502047d61405a93b19bd6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh