1、漏洞概述 Apache Struts 2文件上傳漏洞(CVE-2023-50164) 2、漏洞詳情 Apache Struts 是一個(gè)開(kāi)源的、用于構(gòu)建企業(yè)級(jí)Java Web應(yīng)用的MVC框架。2023年12月,官方披露CVE-2023-50164 Apache Struts 文件上傳漏洞。 3、漏洞危害: 漏洞評(píng)級(jí):高危 Apache Struts 2中多個(gè)受影響的版本中,由于文件上傳邏輯存在缺陷,攻擊者可操縱文件上傳參數(shù)導(dǎo)致路徑遍歷,進(jìn)而上傳可用于執(zhí)行遠(yuǎn)程代碼執(zhí)行的惡意文件。 4、影響范圍 Struts 2.0.0 - Struts 2.3.37 Struts 2.5.0 - Struts 2.5.32 Struts 6.0.0 - Struts 6.3.0 安全版本: Struts 2.5.33 Struts 6.3.0.2 5、修復(fù)方案 目前該漏洞已修復(fù),受影響用戶可升級(jí)至Strus 2.5.33、Struts 6.3.0.2或更高版本。 |