| CVSS 一時的なメタスコア | 現在のエクスプロイト価格 (≈) | CTI注目指数 |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
要約
このたび、Apache Struts 迄 2.5.32/6.3.0.1において、問題があるに分類される脆弱性が見つかりました。 該当するのは 不明な関数 コンポーネントFile Upload Handlerのです。 この操作は、 特権昇格を引き起こします。 この脆弱性はCVE-2023-50164という名称で流通しています。 リモートで攻撃を実行することが可能です。 対象コンポーネントのアップグレードを推奨します。
詳細
このたび、Apache Struts 迄 2.5.32/6.3.0.1において、問題があるに分類される脆弱性が見つかりました。 該当するのは 不明な関数 コンポーネントFile Upload Handlerのです。 この操作は、 特権昇格を引き起こします。 この問題をCWEでは、CWE-552 と定義しました。 この弱点は 2023年12月07日に発表されました。 アドバイザリはlists.apache.orgでダウンロードできます。
この脆弱性はCVE-2023-50164という名称で流通しています。 CVEが2023年12月04日に割り当てられました。 リモートで攻撃を実行することが可能です。 テクニカルな情報はありません。 この脆弱性の人気度は平均より低いです。 現時点では、エクスプロイトの価格は約USD $0-$5kと考えられます。 MITRE ATT&CKプロジェクトによると、攻撃手法はT1083です。
未定義 に指定されています。 0-dayの場合、推定されるアンダーグラウンドでの価格は約$5k-$25kでした。
この問題は、2.5.33 , 6.3.0.2へのアップグレードによって解決可能です。 更新版はcwiki.apache.orgからダウンロードできます。 対象コンポーネントのアップグレードを推奨します。
製品
タイプ
ベンダー
名前
バージョン
- 2.5.0
- 2.5.1
- 2.5.2
- 2.5.3
- 2.5.4
- 2.5.5
- 2.5.6
- 2.5.7
- 2.5.8
- 2.5.9
- 2.5.10
- 2.5.11
- 2.5.12
- 2.5.13
- 2.5.14
- 2.5.15
- 2.5.16
- 2.5.17
- 2.5.18
- 2.5.19
- 2.5.20
- 2.5.21
- 2.5.22
- 2.5.23
- 2.5.24
- 2.5.25
- 2.5.26
- 2.5.27
- 2.5.28
- 2.5.29
- 2.5.30
- 2.5.31
- 2.5.32
- 6.3.0.0
- 6.3.0.1
ライセンス
ウェブサイト
- ベンダー: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB ベクトル: 🔍VulDB 信頼性: 🔍
CVSSv3
VulDB ベースメタスコア: 8.0VulDB 一時的なメタスコア: 7.9
VulDB ベーススコア: 6.3
VulDB 一時的なスコア: 6.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍
NVD ベーススコア: 9.8
NVD ベクトル: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| ベクトル | 複雑さ | 認証 | 機密性 | 完全性 | 可用性 |
|---|---|---|---|---|---|
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
| 解除 | 解除 | 解除 | 解除 | 解除 | 解除 |
VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍
悪用
クラス: 特権昇格CWE: CWE-552 / CWE-425
CAPEC: 🔍
ATT&CK: 🔍
物理的: いいえ
ローカル: いいえ
リモート: はい
可用性: 🔍
ステータス: 未定義
EPSS Score: 🔍
EPSS Percentile: 🔍
価格予測: 🔍
現在の価格評価: 🔍
| 0-Day | 解除 | 解除 | 解除 | 解除 |
|---|---|---|---|---|
| 本日 | 解除 | 解除 | 解除 | 解除 |
脅威インテリジェンス
関心: 🔍アクティブアクター: 🔍
アクティブなAPTグループ: 🔍
対策
推奨: アップグレードステータス: 🔍
0day日時: 🔍
アップグレード: Struts 2.5.33/6.3.0.2
タイムライン
2023年12月04日 🔍2023年12月07日 🔍
2023年12月07日 🔍
2025年02月14日 🔍
ソース
ベンダー: apache.org勧告: 176157
ステータス: 確認済み
CVE: CVE-2023-50164 (🔍)
GCVE (CVE): GCVE-0-2023-50164
GCVE (VulDB): GCVE-100-247137
エントリ
作成済み: 2023年12月07日 11:13更新済み: 2025年02月14日 07:12
変更: 2023年12月07日 11:13 (42), 2023年12月30日 14:36 (1), 2023年12月30日 14:39 (11), 2025年02月14日 07:12 (16)
完了: 🔍
Cache ID: 216::103
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Have you noticed that Cisco is also looking into the vulnerability?
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-struts-C2kCMkmT
There are a list of software that may incorporate Apache Struts.
Could you add Cisco CPEs in the future?
Best Regards,
TEAM Cert
Do you need the next level of professionalism?
Upgrade your account now!