Home Blogs 威胁英特尔更新:CVE-2023-50164 – Apache Struts2
Applications

威胁英特尔更新:CVE-2023-50164 – Apache Struts2

About The Author

Outline

CVE-2023-50164是Apache Struts2中发现的一个严重漏洞,Apache Struts2是一个广泛使用的Java Web applications​ 的开源模型视图控制器(MVC)框架。 以下是基于最新信息的详细细目。

漏洞详细信息

CVE-2023-50164允许攻击者操纵文件上载参数,从而启用路径遍历。 在某些情况下,这可能导致上传恶意文件,该文件可用于执行远程执行代码(RCE)​​。 servers​此漏洞会造成严重威胁,因为它可能使远程攻击者能够在受影响的T Ü V上执行任意代码。

技术规格

  • 缺陷组件:漏洞源于Apache Struts 2​​ 中有缺陷的文件上传逻辑。
  • 严重等级:CVSS 3.x的基本分数为9.8,归类为“严重”。CVSS向量是CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,这表明该漏洞具有高度破坏性且易于exploit​。

受影响的版本

从2.0.0到2.5.32的Apache Struts版本和从6.0.0到6.3.0.1的版本受此vulnerability​ 的影响。

缓解和更新

Apache Struts2安全更新是为了解决此关键文件上载漏洞,减轻远程代码execution​​​ 的潜在影响。 **Edgio的平台不受此漏洞的影响。 我们建议您采取以下措施来保护您的应用程序。** 建议操作:建议用户升级到Struts 2.5.33或Struts 6.3.0.2或更高版本以解决此问题。 如果您无法立即升级到这些版本,Edgio可以通过阻止使用HTTP窗体或多部分内容类型上传的任何文件来帮助您部署自定义的安全规则以缓解此威胁。 由于此漏洞的危险性和利用潜力,因此及时解决此漏洞至关重要,因此请通过tickets@edg.io联系Edgio的24×7 SOC以获得实施自定义虚拟修补程序的帮助。

其他资源:

https://www.cve.org/CVERecord?id=CVE-2023-50164 https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj https://struts.apache.org/announce-2023#a20231207-2