NVD脆弱性詳細

CVE-2023-50164

概要	An attacker can manipulate file upload params to enable paths traversal and under some circumstances this can lead to uploading a malicious file which can be used to perform Remote Code Execution. Users are recommended to upgrade to versions Struts 2.5.33 or Struts 6.3.0.2 or greater to fix this issue.
公表日	2023年12月7日18:15
登録日	2023年12月8日10:00
最終更新日	2024年11月21日17:36

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://packetstormsecurity.com/files/176157/Struts-S2-066-File-Upload-Remote-Code-Execution.html	Third Party Advisory VDB Entry
2	http://packetstormsecurity.com/files/176157/Struts-S2-066-File-Upload-Remote-Code-Execution.html	Third Party Advisory VDB Entry
3	https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj	Mailing List Patch
4	https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj	Mailing List Patch
5	https://security.netapp.com/advisory/ntap-20231214-0010/	Third Party Advisory VDB Entry
6	https://security.netapp.com/advisory/ntap-20231214-0010/	Third Party Advisory VDB Entry
7	https://www.openwall.com/lists/oss-security/2023/12/07/1	Mailing List
8	https://www.openwall.com/lists/oss-security/2023/12/07/1	Mailing List

共通脆弱性一覧

JVN脆弱性情報

Apache Struts 2 における外部からアクセス可能なファイルの脆弱性 (S2-066)

タイトル	Apache Struts 2 における外部からアクセス可能なファイルの脆弱性 (S2-066)
概要	The Apache Software Foundation が提供する Apache Struts 2 には、外部からアクセス可能なファイルの脆弱性 (CWE-552、CVE-2023-50164) が存在します。ファイルアップロード時のパラメータ操作によってパストラバーサルが発生し、悪意のあるファイルをアップロードすることが可能です。
想定される影響	攻撃者によって細工されたファイルをアップロードされ、結果として任意のコードが実行される可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。本脆弱性は、次のバージョンで修正されています。　* Struts 2.5.33 およびそれ以降　* Struts 6.3.0.2 およびそれ以降
公表日	2023年12月8日0:00
登録日	2023年12月11日14:42
最終更新日	2025年1月17日12:58

影響を受けるシステム

Apache Software Foundation

Apache Struts 2.5.0 から 2.5.32

Apache Struts 6.0.0 から 6.3.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2023-50164	https://www.cve.org/CVERecord?id=CVE-2023-50164
National Vulnerability Database (NVD)
2	CVE-2023-50164	https://nvd.nist.gov/vuln/detail/CVE-2023-50164

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-552	https://cwe.mitre.org/data/definitions/552.html

ベンダー情報

No	名前	URL
Apache Struts 2 Wiki
1	S2-066	https://cwiki.apache.org/confluence/display/WW/S2-066
Apache Struts Announcements
2	7 December 2023 - Apache Struts version 2.5.33 General Availability	https://struts.apache.org/announce-2023#a20231207-2
3	7 December 2023 - Apache Struts version 6.3.0.2 General Availability	https://struts.apache.org/announce-2023#a20231207-1
NEC製品セキュリティ情報
4	NV24-007	https://jpn.nec.com/security-info/secinfo/nv24-007.html
5	NV25-002	https://jpn.nec.com/security-info/secinfo/nv25-002.html
Pony Mail
6	[ANN] Apache Struts 6.3.0.2 & 2.5.33	https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

その他

No	名前	URL
JVN
1	JVNVU#96961218	https://jvn.jp/vu/JVNVU96961218/index.html

変更履歴

No	変更内容	変更日
3	[2024年09月02日] ベンダ情報：日本電気 (NV24-007) を追加	2024年9月2日12:14
2	[2023年12月27日] CVSS による深刻度：内容を追加参考情報：National Vulnerability Database (NVD) (CVE-2023-50164) を追加	2023年12月27日17:40
1	[2023年12月11日] 掲載	2023年12月11日12:28
4	[2025年01月17日] ベンダ情報：日本電気 (NV25-002) を追加	2025年1月17日11:37