Home Blogs 威胁英特尔更新:CVE -50164 – Apache Struts2
Applications

威胁英特尔更新:CVE -50164 – Apache Struts2

About The Author

Outline

CVE -50164是在Apache Struts2中发现的一个严重漏洞,Apache是一个广泛使用的开源Model-View-Controller (MVC)框架,用于Java Web applications​。

下面是基于最新信息的详细分类。

漏洞详细信息

CVE -50164允许攻击者操纵文件上传参数,从而实现路径遍历。 在某些情况下,这可能导致上载恶意文件,可利用该文件执行远程执行代码(RCE)​​。

影响: 此漏洞构成严重威胁,因为它可能使远程攻击者能够在受影响的servers​ 上执行任意代码。

技术规格

  • 有缺陷的组件: 该漏洞源于Apache Struts 2​​ 中有缺陷的文件上载逻辑。
  • 严重等级: CVSS 3x基本分数为9.8,归类为 “严重”。 CVSS向量是CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这表明该漏洞具有高度破坏性,并且易于exploit​。

受影响的版本

Apache Struts版本从2.0.0到2.5.32以及从6.0.0到6.3.0.1的版本受此vulnerability​ 的影响。

缓解措施和更新

发布了Apache Struts2安全更新以解决此严重的文件上载漏洞,从而降低了远程代码execution​​​ 的可能性。

** Edgio的平台不受此漏洞的影响。
我们建议您采取以下措施来保护您的应用程序。**

建议的操作: 建议用户升级到Struts 2.5.33或Struts 6.3.0.2或更高版本以纠正此问题。 如果您无法立即升级到这些版本,Edgio可以帮助您部署自定义安全规则,通过阻止使用HTTP窗体或多部分内容类型的任何文件上载来缓解此威胁。 由于此漏洞的关键性质和被利用的可能性,因此及时解决此漏洞至关重要,因此请联系Edgio的24×7 SOC,网址为 tickets@edg.io ,以获得有关实施自定义虚拟补丁的帮助。

其他资源:

https://www.cve.org/CVERecord?id=CVE-2023-50164
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
https://struts.apache.org/announce-2023#a20231207-2

Tags

Just For You