近日，阿帕奇公司發(fā)布安全公告稱 Struts 2 開源 Web 應(yīng)用程序框架存在嚴(yán)重安全漏洞，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

該漏洞被追蹤為 CVE-2023-50164，其根源在于文件上傳邏輯，該邏輯可實(shí)現(xiàn)未經(jīng)授權(quán)的路徑遍歷，在這種情況下極易被用來上傳惡意文件并執(zhí)行任意代碼。

Struts 是一個(gè) Java 框架，主要使用模型-視圖-控制器（MVC）架構(gòu)來構(gòu)建面向企業(yè)的網(wǎng)絡(luò)應(yīng)用程序。

Source Incite 的 Steven Seeley 發(fā)現(xiàn)并報(bào)告了這一漏洞，此漏洞可能影響以下幾個(gè)軟件版本：

• Struts 2.3.37（EOL）
• Struts 2.5.0 - Struts 2.5.32
• Struts 6.0.0 - Struts 6.3.0

其中，2.5.33 和 6.3.0.2 或更高版本中提供了該漏洞的補(bǔ)丁。

阿帕奇公司表示非常感謝 Source Incite 的 Steven Seeley 報(bào)告了該漏洞。此外，研究人員強(qiáng)烈建議所有 Struts 2 用戶立即安裝補(bǔ)丁，并更新到最新的網(wǎng)絡(luò)應(yīng)用程序框架版本。并表示這是一個(gè)即插即用的替換程序，升級(jí)十分便捷。

風(fēng)險(xiǎn)和潛在影響

由于此漏洞允許任意遠(yuǎn)程代碼執(zhí)行，一旦被成功利用，可能對(duì)使用 Struts 2 構(gòu)建的 Web 應(yīng)用程序的安全性構(gòu)成嚴(yán)重風(fēng)險(xiǎn)。

攻擊者可能會(huì)破壞受影響的服務(wù)器和網(wǎng)絡(luò)、執(zhí)行拒絕服務(wù)攻擊、竊取敏感數(shù)據(jù)或使用受感染的系統(tǒng)進(jìn)行惡意軟件分發(fā)和其他網(wǎng)絡(luò)攻擊。

雖然雖然目前還沒有出現(xiàn)黑客利用此漏洞攻擊的事件，但不能掉以輕心。該軟件之前的一個(gè)安全漏洞（CVE-2017-5638，CVSS 得分：10.0）曾在 2017 年被黑客利用，并入侵了美國消費(fèi)者信用報(bào)告機(jī)構(gòu) Equifax。