使用SHC-Update漏洞数据订阅分析工具，提取CVE-2023-50164漏洞公开信息。

目前CVE-2023-50164漏洞已经公开，但尚未在网上出现POC（Proof of Concept）。使用复杂之眼EDR来提前检测终端机器，以确定是否受到CVE-2023-50164漏洞攻击而导致终端失陷。通过漏洞详情可以看出，该漏洞需要上传恶意webshell，并连接webshell管理工具进行远程代码执行。

影响版本[  "Apache Struts 2.5.32",  "Apache Struts 6.3.0.1"]

结合时间线进行排查

漏洞创建时间:2023-12-04 9:30:29漏洞披露时间:2023-12-07 9:15:07漏洞修改时间:2023-12-07 21:30:28

根据客户的生产环境所使用的web服务组件不同和安装目录有变化，下面是排查示例meql语句，语句意思是搜索关于\\Tomcat 9.0\webapps\\目录下是否有可疑命令执行行为，一般是webshell客户端连接产生的行为，排查时间选择可以根据漏洞公开时间进行提前排查，客户组织机构可以选择所有部署完复杂之眼EDR的机器全网排查。

检索异常的命令执行活动

ProcessCommandLine IN Contains ("\\Tomcat 9.0\webapps\\", "ipconfig", "whoami", "net user") AND ProcessParentName Contains "cmd.exe"