Apache Struts 代码执行漏洞风险通告

最近，亚信安全CERT通过监控发现，Apache官方披露了Apache Struts 代码执行漏洞（CVE-2023-50164）。攻击者可以利用文件上传参数进行路径遍历，并在某些情况下上传恶意文件，从而执行任意代码。

Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

考虑到此安全漏洞的存在，厂商已迅速发布修复版本。亚信安全CERT强烈建议使用受影响版本的用户及时关注官方更新，并参照官方提供的修复方案迅速采取相关措施。为确保资产的安全，建议用户进行资产自查和预防工作，以免遭受潜在的黑客攻击。

漏洞编号、等级和类型

• CVE-2023-50164

• 高危

• 代码执行

漏洞状态

受影响版本

• 2.5.0 <= Struts <= 2.5.32

• 6.0.0 <= Struts <= 6.3.0

修复建议

目前，官方已有可更新版本，建议用户尽快升级至Struts 2.5.33或Struts 6.3.0.2或更高版本：

• https://struts.apache.org/download.cgi#struts-ga

参考链接

• https://cwiki.apache.org/confluence/display/WW/S2-066

• https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

• https://www.openwall.com/lists/oss-security/2023/12/07/1