立级升级！Apache Struts 2曝出RCE严重漏洞

Apache 上周发布安全公告，披露 Struts 2 开源 Web 应用程序框架中存在一个严重的安全漏洞，可能导致远程代码执行。

该漏洞被跟踪为 CVE-2023-50164，其根源在于有缺陷的“文件上传逻辑”，该逻辑可启用未经授权的路径遍历，并可能在这种情况下被利用来上传恶意文件并实现任意代码的执行。

Struts 是一个 Java 框架，它使用模型-视图-控制器 （MVC） 架构来构建面向企业的 Web 应用程序。

Source Incite 的 Steven Seeley 因发现并报告该漏洞而受到赞誉，该漏洞会影响该软件的以下版本：

• Struts 2.3.37 (EOL)
• Struts 2.5.0 – Struts 2.5.32, and
• Struts 6.0.0 – Struts 6.3.0

该漏洞的修补程序在版本 2.5.33 和 6.3.0.2 或更高版本中可用，除了升级，目前没有其他解决方法可以修复该漏洞。

安全建议：
“强烈建议所有开发人员执行此升级，”Apache Struts项目维护人员在上周发布的公告中表示：“这是一个直接的替代品，升级应该很简单。”

虽然没有证据表明该漏洞在实际攻击中被恶意利用，但该软件中的先前安全漏洞（CVE-2017-5638，CVSS 评分：10.0）在 2017 年被威胁行为者武器化，以入侵消费者信用报告机构 Equifax。