១.ព័ត៌មានទូទៅ
អ្នកស្រាវជ្រាវសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍និងព័ត៌មានបានរកឃើញនូវចំណុចខ្សោយក្នុងកម្មវិធី Apache Struts 2 ដែលចំណុចខ្សោយនេះមានលេខសម្គាល់ CVE-2023-50164 និងមានកម្រិតធ្ងន់ធ្ងរខ្លាំងបំផុត។ ចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចប្រើប្រាស់ចំណុចខ្សោយដើម្បីប្រតិបត្តិកូដបំពានពីចម្ងាយទៅលើប្រព័ន្ធប៉ះពាល់។
២.ផលិតផលដែលរងផលប៉ះពាល់
- Apache Struts 2.0.0 – Apache Struts 2.3.37 (លែងទទួលបានការថែទាំ)
- Apache Struts 2.5.០ – Apache Struts 2.5.32
- Apache Struts 6.0.០ – Apache Struts 6.3.0
៣.ផលប៉ះពាល់
ចោរព័ត៌មានវិទ្យា/ហេកគ័រ អាចប្រើប្រាស់ប៉ារ៉ាមែត្រនៃមុខងារបង្ហោះឯកសារដើម្បីដំណើរការវិធីសាស្ត្រវាយប្រហារ path traversal ដែលអាចនាំទៅរកការបង្ហោះកូដអាក្រក់និងដំណើរការកូដនេះពីចម្ងាយបាន។
៤.អនុសាសន៍ណែនាំ
ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធធ្វើការអាប់ដេតកម្មវិធី Apache Struts ទៅកំណែ 2.5.33 ឬ 6.3.0.2 ឬកំណែថ្មីជាងនេះជាបន្ទាន់តាមតែអាចធ្វើទៅបាន។
៥.ឯកសារពាក់ព័ន្ធ
- – https://www.cisa.gov/news-events/alerts/2023/12/12/apache-software-foundation-updates-struts-2
- – https://cwiki.apache.org/confluence/display/WW/S2-066
