一、 漏洞 CVE-2023-50164 基础信息
漏洞信息
                                        # Apache Struts: 文件上传组件存在目录穿越漏洞

## 漏洞概述
攻击者可以通过操纵文件上传参数来实现路径遍历,并在某些情况下上传恶意文件,从而执行远程代码。

## 影响版本
- Struts 2.5.33 以下版本
- Struts 6.3.0.2 以下版本

## 细节
攻击者可以通过操纵文件上传参数,实现路径遍历。在某些特定情况下,攻击者可以上传恶意文件,进而利用该文件执行远程代码。

## 影响
此漏洞可导致远程代码执行,严重威胁系统的安全性和稳定性。建议用户升级到 Struts 2.5.33 或 Struts 6.3.0.2 及以上版本以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Struts: File upload component had a directory traversal vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An attacker can manipulate file upload params to enable paths traversal and under some circumstances this can lead to uploading a malicious file which can be used to perform Remote Code Execution. Users are recommended to upgrade to versions Struts 2.5.33 or Struts 6.3.0.2 or greater to fix this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对外部实体的文件或目录可访问
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Struts 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 存在安全漏洞,该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本:Apache Struts 2.0.0至2.5.32版本,6.0.0至6.3.0.1版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-50164 的公开POC
# POC 描述 源链接 神龙链接
1 A critical security vulnerability, identified as CVE-2023-50164 (CVE: 9.8) was found in Apache Struts, allowing attackers to manipulate file upload parameters that can potentially lead to unauthorized path traversal and remote code execution (RCE). https://github.com/jakabakos/CVE-2023-50164-Apache-Struts-RCE POC详情
2 A scanning utility and PoC for CVE-2023-50164 https://github.com/bcdannyboy/CVE-2023-50164 POC详情
3 Proof of Concept for Path Traversal in Apache Struts ("CVE-2023-50164") https://github.com/dwisiswant0/cve-2023-50164-poc POC详情
4 None https://github.com/helsecert/cve-2023-50164 POC详情
5 None https://github.com/Thirukrishnan/CVE-2023-50164-Apache-Struts-RCE POC详情
6 Vulnerable docker container for Apache Struts 2 RCE CVE-2023-50164 https://github.com/Trackflaw/CVE-2023-50164-ApacheStruts2-Docker POC详情
7 None https://github.com/miles3719/cve-2023-50164 POC详情
8 None https://github.com/aaronm-sysdig/cve-2023-50164 POC详情
9 None https://github.com/snyk-labs/CVE-2023-50164-POC POC详情
10 CVE-2023-50164 (Apache Struts path traversal to RCE vulnerability) - Proof of Concept https://github.com/sunnyvale-it/CVE-2023-50164-PoC POC详情
11 None https://github.com/n-etupirka/CVE-2023-50164 POC详情
12 None https://github.com/AsfandAliMemon25/CVE-2023-50164Analysis- POC详情
13 None https://github.com/minhbao15677/CVE-2023-50164 POC详情
14 CVE-2023-50164 PoC Application & Exploit script https://github.com/NikitaPark/CVE-2023-50164-PoC POC详情
15 Vulnerable docker container for Really Simple Security (Free, Pro, and Pro Multisite) 9.0.0 – 9.1.1.1 – Authentication Bypass CVE-2023-50164 https://github.com/Trackflaw/CVE-2024-10924-Wordpress-Docker POC详情
16 Proof of Concept for Path Traversal in Apache Struts ("CVE-2023-50164") https://github.com/powerlesssta/cve-2023-50164-poc POC详情
17 Proof of Concept for Path Traversal in Apache Struts ("CVE-2023-50164") https://github.com/separatefailu/cve-2023-50164-poc POC详情
18 None https://github.com/Pixel-DefaultBR/CVE-2023-50164 POC详情
19 Proof of Concept for Path Traversal in Apache Struts ("CVE-2023-50164") https://github.com/heavyyeast/cve-2023-50164-poc POC详情
20 None https://github.com/Threekiii/Awesome-POC/blob/master/%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%BC%8F%E6%B4%9E/Apache%20Struts%20S2-066%20%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2023-50164.md POC详情
21 Proof-of-concept for CVE-2023-50164 (Apache Struts 2), originally by jakabakos and adapted for the HTB Strutted lab environment. For educational use only. https://github.com/MKIRAHMET/CVE-2023-50164-HTB-strutted POC详情
22 None https://github.com/hybinn/CVE-2023-50164 POC详情
三、漏洞 CVE-2023-50164 的情报信息
四、漏洞 CVE-2023-50164 的评论

暂无评论

发表评论