网络安全预警通报
2023年第11期
网络与计算中心 2023年12月11日
【预警类型】
高危预警
【预警内容】
关于Apache Struts存在目录遍历漏洞的预警通报
一、漏洞概述
Apache Struts是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持REST、AJAX和JSON的插件。
二、漏洞详情
Apache Struts官方发布公告,披露目录遍历漏洞(CVE-2023-50164)。
攻击者可以控制文件上传参数执行路径遍历,在某些情况下可以上传恶意文件,从而执行任意代码。
官方已发布安全更新以及缓解措施,建议相关用户尽快采取措施。
漏洞影响范围:
CVE-2023-50164
2.5.0 <= Struts<= 2.5.32
6.0.0 <= Struts<= 6.3.0
三、处置建议
为确保重要网络系统安全,防止发生重大网络安全事件,请校区各单位确保安全的前提下升级版本。
目前,厂商已发布补丁修复漏洞,建议相关用户及时确认是否受到漏洞影响,尽快更新至安全版本。
参考链接:https://cwiki.apache.org/confluence/display/WW/S2-066
下载链接:https://cwiki.apache.org/confluence/display/WW/Version+Notes+6.3.0.2 https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.33
内容 | 李昌
编辑 | 王彬
审核 | 陈兰
位置:
