网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Apache Struts 2拒绝服务漏洞(CVE-2023-41835)的安全预警

日期:2023-09-18阅读:

关于Apache Struts 2拒绝服务漏洞(CVE-2023-41835)的安全预警

一、 基本情况

Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。

二、 漏洞描述

Apache Struts 2中修复了一个拒绝服务漏洞(CVE-2023-41835)。

Apache Struts多个受影响版本中,当执行Multipart请求但某些字段超过maxStringLength 限制时,即使请求被拒绝,上传文件也会保留在 struts.multipart.saveDir 中,可利用该漏洞导致磁盘使用过多,造成拒绝服务。

三、 影响范围

Apache Struts 2.5.31

Apache Struts 6.1.2.1

Apache Struts 6.3.0

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Struts 2.5.32

Apache Struts 6.1.2.2

Apache Struts 6.3.0.1

下载链接:

https://struts.apache.org/download.cgi

五、 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-065

https://struts.apache.org/announce-2023#a20230913-1

 

我是盾盾