Apache Struts 2遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2023-50164）

2023-12-11

一、概要

近日，華為云關(guān)注到Apache Struts官方發(fā)布安全公告，披露Apache Struts 2在特定版本中存在一處嚴(yán)重級別的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-50164）。由于文件上傳邏輯存在缺陷，攻擊者可以操縱文件上傳參數(shù)來啟用路徑遍歷，在某些情況下攻擊者可通過上傳惡意文件觸發(fā)漏洞，成功利用漏洞可造成遠(yuǎn)程代碼執(zhí)行。

Apache Struts2是一個(gè)流行的Java Web應(yīng)用程序框架。華為云提醒使用Apache Struts2的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://cwiki.apache.org/confluence/display/WW/S2-066

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Struts 2.5.0 - 2.5.32

Apache Struts 6.0.0 - 6.3.0

安全版本：

Apache Struts >= 2.5.33

Apache Struts >= 6.3.0.2

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://struts.apache.org/download.cgi

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。