最近,威尼斯432888camCERT通过监控发现,Apache官方披露了Apache Struts 代码执行漏洞(CVE-2023-50164)。攻击者可以利用文件上传参数进行路径遍历,并在某些情况下上传恶意文件,从而执行任意代码。
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
考虑到此安全漏洞的存在,厂商已迅速发布修复版本。威尼斯432888camCERT强烈建议使用受影响版本的用户及时关注官方更新,并参照官方提供的修复方案迅速采取相关措施。为确保资产的安全,建议用户进行资产自查和预防工作,以免遭受潜在的黑客攻击。
漏洞编号、等级和类型
漏洞状态
受影响版本
修复建议
目前,官方已有可更新版本,建议用户尽快升级至Struts 2.5.33或Struts 6.3.0.2或更高版本:
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-066
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
https://www.openwall.com/lists/oss-security/2023/12/07/1