2023年12月4日,Apache 官方披露 CVE-2023-50164 Apache Struts2 目录遍历漏洞。
01
漏洞描述
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2023年12月,官方披露 CVE-2023-50164 Apache Struts 目录遍历漏洞。
攻击者可以通过污染相关上传参数导致目录遍历,若在具体代码环境中允许上传危险后缀文件(例如 jsp文件),则攻击者可能结合该目录遍历漏洞,可能导致上传webshell 至可解析目录,执行任意代码。
02
漏洞评级
CVE-2023-50164 Apache Struts2 目录遍历漏洞 高危
需要结合实际代码写法以及环境方可利用
03
Apache Struts 2.5.33
Apache Struts 6.3.0.2
04
安全建议
1、升级 Struts2 至安全版本及其以上。
2、阿里云云安全中心应用漏洞已于 2023.12.4 支持该漏洞检测。
05
相关链接
https://avd.aliyun.com/detail?id=AVD-2023-50164
https://cwiki.apache.org/confluence/display/WW/S2-066