Apache Struts 2 មានចំណុចខ្សោយធ្ងន់ធ្ងរ

ព័ត៌មានទូទៅ
អ្នកស្រាវជ្រាវសន្តិសុខ បច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានបានរកឃើញនូវចំណុចខ្សោយក្នុងកម្មវិធី Apache Struts 2 ដែលចំណុចខ្សោយនេះមានលេខសម្គាល់ CVE-2023-50164 និងមានកម្រិតធ្ងន់ធ្ងរខ្លាំងបំផុត។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចប្រើប្រាស់ចំណុចខ្សោយ ដើម្បីប្រតិបត្តិកូដបំពានពីចម្ងាយទៅលើប្រព័ន្ធប៉ះពាល់។

ផលិតផលដែលរងផលប៉ះពាល់
• Apache Struts 2.0.0 – Apache Struts 2.3.37 (លែងទទួលបានការថែទាំ)
• Apache Struts 2.5.០ – Apache Struts 2.5.32
• Apache Struts 6.0.០ – Apache Struts 6.3.0

ផលប៉ះពាល់
ចោរព័ត៌មានវិទ្យា/ហេកគ័រ អាចប្រើប្រាស់ប៉ារ៉ាមែត្រនៃមុខងារបង្ហោះឯកសារ ដើម្បីដំណើរការវិធីសាស្ត្រវាយប្រហារ path traversal ដែលអាចនាំទៅរកការបង្ហោះកូដអាក្រក់និងដំណើរការកូដនេះពីចម្ងាយបាន។

អនុសាសន៍ណែនាំ
សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធធ្វើការអាប់ដេតកម្មវិធី Apache Struts ទៅកំណែ 2.5.33 ឬ 6.3.0.2 ឬកំណែថ្មីជាងនេះជាបន្ទាន់តាមតែអាចធ្វើទៅបាន។

ឯកសារយោង
– https://www.cisa.gov/news-events/alerts/2023/12/12/apache-software-foundation-updates-struts-2
– https://cwiki.apache.org/confluence/display/WW/S2-066
– CamSA23-59