• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Apache Struts2 远程代码执行漏洞(CVE-2023-50164)通告

【发布时间:2023-12-13】

新华三盾山实验室

2023/12/07


1. 漏洞综述

1.1 漏洞背景

Apache Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。近日,新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于Apache Struts2中的远程代码执行漏洞(CVE-2023-50164),攻击者可利用该漏洞执行任意代码。

1.2 漏洞详情

此漏洞是由于文件上传逻辑存在缺陷,攻击者可利用上传文件参数来启动路径遍历,从而上传恶意文件,导致远程代码执行。

2. 影响范围

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

3. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

利用难度

漏洞评分

8.1

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接: https://struts.apache.org/download.cgi

5. 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-066

新华三官网
联系我们