股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
Apache Struts 代码执行漏洞风险通告
发布时间 :2023年12月12日
类型 :勒索软件
分享:
最近,亚信安全CERT通过监控发现,Apache官方披露了Apache Struts 代码执行漏洞(CVE-2023-50164)。攻击者可以利用文件上传参数进行路径遍历,并在某些情况下上传恶意文件,从而执行任意代码。
Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
考虑到此安全漏洞的存在,厂商已迅速发布修复版本。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新,并参照官方提供的修复方案迅速采取相关措施。为确保资产的安全,建议用户进行资产自查和预防工作,以免遭受潜在的黑客攻击。
漏洞编号、等级和类型
CVE-2023-50164
高危
代码执行
漏洞状态
受影响版本
2.5.0 <= Struts <= 2.5.32
6.0.0 <= Struts <= 6.3.0
修复建议
目前,官方已有可更新版本,建议用户尽快升级至Struts 2.5.33或Struts 6.3.0.2或更高版本:
https://struts.apache.org/download.cgi#struts-ga
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-066
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
https://www.openwall.com/lists/oss-security/2023/12/07/1
分享到微信
X