更新時間:2023/12/14 14:45:18
發佈時間:2023/12/14 14:45:17
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Apache Struts近期被揭露存在高風險目錄遍歷漏洞,遠端攻擊者成功利用漏洞時,可透過偽造檔案上傳參數取得受影響網站之目錄架構,更進一步可上傳用於執行遠端程式碼攻擊之惡意檔案。
二、已揭露攻擊程式碼說明
1.GitHub已有相關攻擊程式碼利用說明[2]。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://cwiki.apache.org/confluence/display/WW/S2-066 | 1. Apache |
| https://github.com/wy876/POC/blob/main/Apache%20Struts2%20CVE-2023-50164.md | 2.GitHub |
| https://nvd.nist.gov/vuln/detail/CVE-2023-50164 | 3. NVD |
▶ 影響平台
⌵
影響平台-系統:
Struts 2.0.0 - Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32 修補於2.5.33
Struts 6.0.0 - Struts 6.3.0 修補於6.3.0.2
▶ 建議措施
⌵
一、官方已發布更新版本,建議依照單位內既有漏洞管理機制,評估後執行相關作業。
▶ 漏洞資訊
⌵
名稱:
CVE-2023- 50164
描述:
使用版本:CVSS 3.1
分析分數:9.8
參考來源: NVD
情資編號:
FISAC-200-202312-0001
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞