【漏洞預警】特定版本Apache Struts 2存在允許攻擊者遠端 ...

2023年12月14日 — 一、漏洞說明[1] Apache Struts近期被揭露存在高風險目錄遍歷漏洞，遠端攻擊者成功利用漏洞時，可透過偽造檔案上傳參數取得受影響網站之目錄架構，更 ...

2023年6月15日 — Apache Software Foundation 發布了安全性公告以應對於Apache Struts 的漏洞。遠端攻擊者可以通過傳送特製的請求至受影響系統，從而攻擊漏洞。

2024年1月8日 — Apache Struts 近日被通報高風險漏洞，目前通報等級為9.8 分，其攻擊方式主要透過攻擊者操縱上傳文件的參數，引發路徑遍歷（Path Traversal）攻擊。

2023年12月11日 — 於Apache Struts 發現一個漏洞。遠端使用者可利用此漏洞，於目標系統觸發遠端執行任意程式碼。

若執行特定配置的Struts伺服器造訪了惡意網頁時，就可能觸發漏洞，導致遠端程式攻擊，目前Apache軟體基金會已釋出修補，呼籲用戶儘速更新。

2018年11月7日 — 漏洞存在於Apache Struts 2所使用的Commons FileUpload 1.3.2函式庫上，導致遠端程式攻擊，儘管在2016年便已修補，但Apache今年10月釋出Struts 2.3.36時仍 ...

研究人員發現Apache Struts之上傳路徑參數存在路徑穿越漏洞(CVE-2023-50164)，允許攻擊者於未經身分鑑別之情況下利用此漏洞上傳惡意程式，有機會可透過執行該程式達到遠端 ...

該漏洞主要是Apache Struts 2負責處理檔案上傳封包的Jakarta解析程式(parser)存在安全性漏洞，遠端攻擊者可利用漏洞寄送含有惡意Content-Type值的封包，造成攻擊者可遠端 ...

(1) 檢查是否使用Apache Struts 2 Web應用框架，可透過檢查網站主機目錄中的「WEB-INF-lib-」資料夾是否存有struts相關jar檔，若存有相關jar檔再進行版本確認。

2024年1月5日 — CVE-2023-50164 基本上跟Apache Struts 的架構以及檔案上傳功能的使用方式有關，此漏洞能讓駭客在未經授權的情況下瀏覽檔案路徑，而且還能上傳惡意檔案並 ...