Home Blogs 威脅Intel更新:2023-50164 – Apache Struts2
Applications

威脅Intel更新:2023-50164 – Apache Struts2

About The Author

Outline

是在Apache Struts2中發現的一個嚴重漏洞,Apache 2023-50164是一個廣泛使用的用於Java Web applications​ 的開源Model-View-Controller (MVC)框架。 下麵是基於最新資訊的詳細分析。

漏洞詳細資訊

2023-50164允許攻擊者操縱文件上載參數,從而啟用路徑遍歷。 在某些情況下,這可能導致上傳惡意文件,可用於執行遠程執行代碼(RCE)​​。 影響:此漏洞構成嚴重威脅,因為它可能使遠程攻擊者能夠在受影響的servers​…上執行任意代碼。

技術規格

  • 缺陷組件:此漏洞源於Apache Struts 2​​ 中存在缺陷的文件上載邏輯。
  • 嚴重等級:CVSS 3基本分數為9.8,歸類為嚴重。CVSS向量為CVSS:3.1:N/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,這表示該漏洞具有高度的破壞性,而且容易exploit​。

受影響的版本

Apache Struts版本(從2.0.0到2.5.32)以及從6.0.0到6.3.0.1的版本都受此vulnerability​ 的影響。

緩解和更新

發布Apache Struts2安全更新是為了解決此嚴重文件上載漏洞,從而緩解遠程代碼execution​​​ 的可能性。 ** Edgio的平臺不受此漏洞的影響。 建議您採取以下措施來保護應用程式。** 建議操作:建議用戶升級到Struts 2.5.33或Struts 6.3.0.2或更高版本以糾正此問題。 如果您無法立即升級到這些版本,Edgio可以通過阻止使用HTTP窗體或多部分內容類型的任何文件上載,幫助您部署自定義安全規則以緩解此威脅。 由於此漏洞的嚴重性質和潛在漏洞被利用,因此及時解決此漏洞至關重要,因此請聯繫Edgio的24×7 SOC,電話是tickets@edg.io,以獲得實施自定義虛擬補丁的幫助。

其他資源:

https://www.cve.org/CVERecord?id=CVE-2023-50164 https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj https://struts.apache.org/announce-2023#a20231207-2