服务公告
Apache Struts 2远程代码执行漏洞预警(CVE-2023-50164)
2023-12-11
一、概要
近日,华为云关注到Apache Struts官方发布安全公告,披露Apache Struts 2在特定版本中存在一处严重级别的远程代码执行漏洞(CVE-2023-50164)。由于文件上传逻辑存在缺陷,攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下攻击者可通过上传恶意文件触发漏洞,成功利用漏洞可造成远程代码执行。
Apache Struts2是一个流行的Java Web应用程序框架。华为云提醒使用Apache Struts2的用户及时安排自检并做好安全加固。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-066
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Struts 2.5.0 - 2.5.32
Apache Struts 6.0.0 - 6.3.0
安全版本:
Apache Struts >= 2.5.33
Apache Struts >= 6.3.0.2
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
https://struts.apache.org/download.cgi
注:修复漏洞前请将资料备份,并进行充分测试。