打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

Apache Struts 代码执行漏洞风险通告
发布时间 :2023年12月12日
类型 :勒索软件
分享:

最近,亚信安全CERT通过监控发现,Apache官方披露了Apache Struts 代码执行漏洞(CVE-2023-50164)。攻击者可以利用文件上传参数进行路径遍历,并在某些情况下上传恶意文件,从而执行任意代码。


Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。


考虑到此安全漏洞的存在,厂商已迅速发布修复版本。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新,并参照官方提供的修复方案迅速采取相关措施。为确保资产的安全,建议用户进行资产自查和预防工作,以免遭受潜在的黑客攻击。


漏洞编号、等级和类型

  • CVE-2023-50164

  • 高危

  • 代码执行


漏洞状态

image.png


受影响版本

  • 2.5.0 <= Struts <= 2.5.32

  • 6.0.0 <= Struts <= 6.3.0


修复建议


目前,官方已有可更新版本,建议用户尽快升级至Struts 2.5.33或Struts 6.3.0.2或更高版本:

  • https://struts.apache.org/download.cgi#struts-ga


参考链接

  • https://cwiki.apache.org/confluence/display/WW/S2-066

  • https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

  • https://www.openwall.com/lists/oss-security/2023/12/07/1

分享到微信
X