长亭百川云

高危

Apache Struts2 文件上传漏洞

披露时间:
2023-12-07
更新时间:
2025-02-10
CT 编号
CT-996923
CVE 编号
CVE-2023-50164
CNVD 编号
CNVD-2023-97016
CNNVD 编号
CNNVD-202312-546
原理分类
文件上传
漏洞评分
9.8

漏洞描述

Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 存在安全漏洞,该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本:Apache Struts 2.0.0至2.5.32版本,6.0.0至6.3.0.1版本。

漏洞危害

1)执行任意代码,攻击者可以通过上传恶意代码文件来控制服务器;2)数据泄露,攻击者可能通过上传恶意文件来获取敏感数据;3)服务中断,攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用;4)法律风险,服务器上出现恶意内容可能导致法律责任。

修复方法

官方已发布安全修复版本,建议受影响的用户升级至Struts 2.5.33或Struts 6.3.0.2或更高版本

评分维度

长亭安全产品覆盖情况

雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统

漏洞时间线

  • 漏洞披露

    2023-12-07

  • 漏洞信息更新

    2025-02-10

关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2