Apache Struts存在高風險安全漏洞(CVE-2023-50164)，允許攻擊者於未經身分鑑別之情況下遠端執行任意程式碼，請儘速確認並進行更新

內容說明：

研究人員發現Apache Struts之上傳路徑參數存在路徑穿越漏洞(CVE-2023-50164)，允許攻擊者於未經身分鑑別之情況下利用此漏洞上傳惡意程式，有機會可透過執行該程式達到遠端任意程式碼執行。該漏洞目前已遭駭客利用，請儘速確認並進行更新。

影響平台：

受影響版本如下：
Apache Struts 2.0.0至2.3.37版本
Apache Struts 2.5.0至2.5.32版本
Apache Struts 6.0.0至6.3.0.1版本

處置建議：

目前Apache官方已針對此漏洞釋出更新程式，請各機關儘速進行版本確認與更新：
Apache Struts 請升級至2.5.33與6.3.0.2版本

參考資料：

1. https://nvd.nist.gov/vuln/detail/CVE-2023-50164
2. https://cwiki.apache.org/confluence/display/WW/S2-066
3. https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-apache-struts-flaw-using-public-poc/
4. https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
5. https://www.openwall.com/lists/oss-security/2023/12/07/1
6. https://www.trendmicro.com/zh_hk/research/23/l/decoding-cve-2023-50164–unveiling-the-apache-struts-file-upload.html
7. https://www.ithome.com.tw/news/160355
8. https://www.ithome.com.tw/news/160290

ISDA 台灣資訊安全聯合發展協會

ISDA removes barriers in the way of security | Cybersecurity Education and Development

Apache Struts存在高風險安全漏洞(CVE-2023-50164)，允許攻擊者於未經身分鑑別之情況下遠端執行任意程式碼，請儘速確認並進行更新

Apache Struts存在高風險安全漏洞(CVE-2023-50164)，允許攻擊者於未經身分鑑別之情況下遠端執行任意程式碼，請儘速確認並進行更新