資安通報：Apache Struts CVE-2023-50164

親愛的使用者，您好

　　Apache Struts 近日被通報高風險漏洞，目前通報等級為 9.8 分，其相關風險資訊如下：

攻擊方式

　　其攻擊方式主要透過攻擊者操縱上傳文件的參數，引發路徑遍歷（Path Traversal）攻擊。這可以讓攻擊者上傳惡意文件，並最終執行遠端程式碼（Remote Code Execution），從而掌控應用程式或伺服器。

修復方式

　　目前 Apache Struts 有兩個系列版本，分別為 2 系列版本和 6 系列版本號，且大多數版本版本號都有受 CVE-2023-50164 高風險漏洞影響

• 如果為 2 系列開頭的版本號，需升級至 2.5.33 版本方可完成修復

• 如果為 6 系列開頭的版本號，需升級至 6.3.0.2 版本方可完成修復

相關參考連結

Structs 下載連結：https://struts.apache.org/download.cgi

參考連結：https://nvd.nist.gov/vuln/detail/CVE-2023-50164

Java 相容

• Apache Struts 6.x 系列框架最低要求版本：Servlet API 3.1、JSP API 2.1 與 Java 8

• Apache Struts 2.5.x 系列框架最低要求版本：Servlet API 2.4, JSP API 2.0 與 Java 7 

關於 Mend.io

Open Source 近年來越來越深受開發團隊喜愛，然而其中的弱點、授權問題您是否也深受其苦，人工管理雖然可以節省成本，但耗時費日又有出錯的風險，更無法隨時為您更新最新資料庫資訊。

歡迎了解更多 Mend.io 資訊：https://www.gss.com.tw/mend-io