Home Blogs 威脅英特爾更新:CVE-2023-50164 – Apache Struts2
Applications

威脅英特爾更新:CVE-2023-50164 – Apache Struts2

About The Author

Outline

CVE-2023-50164是在Apache Struts2中發現的一個嚴重漏洞,Apache Struts2是一個廣泛使用的用於Java Web applications​ 的開源模型視圖控制器(MVC)框架。

以下是基於最新資訊的詳細細分。

漏洞詳細資訊

CVE-2023-50164允許攻擊者操縱文件上載參數,從而啓用路徑遍歷。 在某些情況下,這可能導致上傳惡意文件,可利用此文件執行遠程代碼(RCE)​​。

影響: 此漏洞構成嚴重威脅,因爲它可能使遠程攻擊者能夠在受影響的servers​ 上執行任意代碼。

技術規格

  • 有缺陷的組件: 該漏洞源於Apache Struts 2​​ 中有缺陷的文件上載邏輯。
  • 嚴重等級: CVSS 3.x基本分數爲9.8,歸類爲 嚴重。 CVSS向量爲CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,表示漏洞具有高度破壞性且易於exploit​。

受影響的版本

Apache Struts版本(從2.0.0到2.5.32)和版本(從6.0.0到6.3.0.1)受此vulnerability​ 的影響。

緩解和更新

發佈了Apache Struts2安全更新以解決此關鍵文件上載漏洞,從而降低遠程代碼execution​​​ 的可能性。

** Edgio的平臺不受此漏洞的影響。
我們建議您採取以下措施來保護您的應用程式。**

建議操作: 建議用戶升級到Struts 2.5.33或Struts 6.3.0.2或更高版本以糾正此問題。 如果您無法立即升級到這些版本,Edgio可以通過阻止使用HTTP窗體或多部分內容類型的任何文件上載來幫助您部署自定義安全規則以緩解此威脅。 由於此漏洞的關鍵性質和潛在漏洞被利用,因此及時解決這一問題至關重要,因此請聯繫Edgio的24×7 SOC,網址爲tickets@edg.io, 以獲得實施自定義虛擬修補程序的幫助。

其他資源:

https://www.cve.org/CVERecord?id=CVE-2023-50164
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
https://struts.apache.org/announce-2023#a20231207-2

Tags

Just For You