Top Trends in Cybersecurity for 2024 | Read the Gartner® Report >

Home Blogs 脅威Intelの更新: CVE-2023-50164 – Apache Struts2
Download
Applications
Media
Expert Service

脅威Intelの更新: CVE-2023-50164 – Apache Struts2

Download
Share

About The Author

Picture of Tom Gorup
Tom Gorup
As the Vice President of Security Services at Edgio, Tom Gorup leads a team of security professionals who deliver world-class security solutions to customers across various industries. He is responsible for overseeing the company's global security operations, ensuring the highest standards of quality, efficiency, and customer satisfaction. Tom has over 15 years of experience in managing security operations, from co-founding and running a successful MDR startup to directing a large-scale SOC at a leading cloud security provider. He has a proven track record of building and growing security teams, developing innovative technologies and processes, and securing organizations from emerging threats. He is also a recognized thought leader and speaker in the security industry, as well as a decorated veteran who served in the U.S. Army. Tom is passionate about advancing the field of cybersecurity and empowering his team to deliver the best security outcomes for their customers.

Outline

Download
Share
CVE-2023-50164は、Java Webアプリケーション用のオープンソースのModel-View-Controller (MVC)フレームワークであるApache Struts2に発見された重大な脆弱性である。 最新の情報をもとに詳細な内訳を紹介する。

脆弱性の詳細

CVE-2023-50164は攻撃者がファイルアップロードパラメータを操作し、パストラバーサルを可能にする。 特定の条件下では、これは悪意のあるファイルのアップロードにつながり、リモートコード実行(RCE)を実行するために利用される可能性がある。 影響:この脆弱性は、影響を受けるサーバ上でリモート攻撃者が任意のコードを実行する可能性があるため、深刻な脅威となる。

技術仕様

  • 欠陥のあるコンポーネント:この脆弱性はApache Struts 2のファイルアップロードロジックの欠陥に起因する。
  • 重大度の評価:CVSS 3.xの基本スコアが9.8であり、クリティカルに分類されている。CVSSベクターはCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A: Hであり、この脆弱性は非常に有害であり、悪用しやすいことを示している。

影響を受けるバージョン

2.0.0から2.5.32までのApache Strutsと6.0.0から6.3.0.1までのApache Strutsがこの脆弱性の影響を受ける。

緩和と更新

Apache Struts2のセキュリティアップデートは、この重要なファイルアップロードの脆弱性に対処するためにリリースされ、リモートコード実行の可能性を軽減した。 **Edgioのプラットフォームは、本脆弱性の影響を受けない。 アプリケーションを保護するために、次のアクションを実行することをお勧めする。** 推奨処置:この問題を修正するには、Struts 2.5.33またはStruts 6.3.0.2以降のバージョンにアップグレードすることを推奨する。 これらのバージョンにすぐにアップグレードできない場合、EdgioはHTTPフォームまたはマルチパートコンテンツタイプを使用してファイルのアップロードをブロックすることで、この脅威を軽減するカスタムセキュリティルールを展開するのを支援できる。 この脆弱性は重大な性質と悪用の可能性があるため、迅速に対処することが重要である。そのため、Edgioの24時間365日対応のSOC ( tickets@edg.io )に連絡して、カスタマイズされた仮想パッチの実装の支援を得る。

その他のリソース:

https://www.cve.org/CVERecord?id=CVE-2023-50164 https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj https://struts.apache.org/announce-2023#a20231207-2

Tags

Just For You