資安通報:Apache Struts CVE-2023-50164

2024年一月08日(一) AM 09:00

親愛的使用者,您好

  Apache Struts 近日被通報高風險漏洞,目前通報等級為 9.8 分,其相關風險資訊如下:

攻擊方式

  其攻擊方式主要透過攻擊者操縱上傳文件的參數,引發路徑遍歷(Path Traversal)攻擊。這可以讓攻擊者上傳惡意文件,並最終執行遠端程式碼(Remote Code Execution),從而掌控應用程式或伺服器。

修復方式

  目前 Apache Struts 有兩個系列版本,分別為 2 系列版本和 6 系列版本號,且大多數版本版本號都有受 CVE-2023-50164 高風險漏洞影響

  • 如果為 2 系列開頭的版本號,需升級至 2.5.33 版本方可完成修復

  • 如果為 6 系列開頭的版本號,需升級至 6.3.0.2 版本方可完成修復

相關參考連結

Structs 下載連結:https://struts.apache.org/download.cgi

參考連結:https://nvd.nist.gov/vuln/detail/CVE-2023-50164

Java 相容

  • Apache Struts 6.x 系列框架最低要求版本:Servlet API 3.1、JSP API 2.1 與 Java 8

  • Apache Struts 2.5.x 系列框架最低要求版本:Servlet API 2.4, JSP API 2.0 與 Java 7 

關於 Mend.io

Open Source 近年來越來越深受開發團隊喜愛,然而其中的弱點、授權問題您是否也深受其苦,人工管理雖然可以節省成本,但耗時費日又有出錯的風險,更無法隨時為您更新最新資料庫資訊。

歡迎了解更多 Mend.io 資訊:https://www.gss.com.tw/mend-io

上一篇 下一篇

相關文章

資安通報:polyfill[.]io供應鏈攻擊

近期最駭人聽聞的資安新聞,莫過於 polyfill.io 供應鏈攻擊,影響超過 10 萬個網站而被撻伐,一度再度傳出他們使用新的網域 polyfill[.]com 提供類似服務,而有可能再度發動類似攻擊。Polyfill[.]io 是一個可以自動提供前端 polyfill 的服務,使用方法相當方便,只需要選擇想被 polyfill 的功能,直接引用 JavaScript 的檔案即可。如果要講得更精確一點的話,有一個叫做 polyfill-service 的開源專案,提供 CDN 服務,只需引用其程式碼即可達成需求。
2024/08/07