近日，阿帕奇公司發(fā)布安全公告稱 Struts 2 開源 Web 應(yīng)用程序框架存在嚴重安全漏洞，可能導(dǎo)致遠程代碼執(zhí)行。

該漏洞被追蹤為 CVE-2023-50164，其根源在于文件上傳邏輯，該邏輯可實現(xiàn)未經(jīng)授權(quán)的路徑遍歷，在這種情況下極易被用來上傳惡意文件并執(zhí)行任意代碼。

Shadowserver 掃描平臺的研究人員稱，已觀察到少量黑客參與了漏洞利用。

圖源：Bleeping Computer

Apache Struts 是一個開源 Web 應(yīng)用程序框架，旨在簡化 Java EE Web 應(yīng)用程序的開發(fā)，提供基于表單的界面和廣泛的集成功能。

該產(chǎn)品廣泛用于私營和公共部門（包括政府組織）的各個行業(yè)，因為它可以有效地構(gòu)建可擴展、可靠且易于維護的 Web 應(yīng)用程序。

此次的漏洞可能允許攻擊者上傳惡意文件，并在目標服務(wù)器上實現(xiàn)遠程代碼執(zhí)行 （RCE）。黑客一旦成功利用此類漏洞，就可以修改敏感文件、竊取數(shù)據(jù)、中斷關(guān)鍵服務(wù)等。

Source Incite 的 Steven Seeley 發(fā)現(xiàn)并報告了這一漏洞，此漏洞可能影響以下幾個軟件版本：

• Struts 2.3.37（EOL）
• Struts 2.5.0 - Struts 2.5.32
• Struts 6.0.0 - Struts 6.3.0

其中，2.5.33 和 6.3.0.2 或更高版本中提供了該漏洞的補丁。

阿帕奇公司表示非常感謝 Source Incite 的 Steven Seeley 報告了該漏洞。此外，研究人員強烈建議所有 Struts 2 用戶立即安裝補丁，并更新到最新的網(wǎng)絡(luò)應(yīng)用程序框架版本。并表示這是一個即插即用的替換程序，升級十分便捷。

思科可能受到影響

思科在本周二（12月12日）發(fā)布的安全公告中表示正在調(diào)查 CVE-2023-50164，繼而確定哪些采用 Apache Struts 的產(chǎn)品可能受到影響，以及受影響的程度。

接受分析的思科產(chǎn)品包括客戶協(xié)作平臺（Customer Collaboration Platform）、身份服務(wù)引擎（ISE）、Nexus Dashboard Fabric Controller（NDFC）、統(tǒng)一通信管理器（Unified CM）、統(tǒng)一聯(lián)絡(luò)中心企業(yè)版（Unified CCE）和 Prime Infrastructure。

可能受影響產(chǎn)品的完整列表可在思科的安全公告中找到，該公告預(yù)計將根據(jù)最新信息進行更新。

風險和潛在影響

由于此漏洞允許任意遠程代碼執(zhí)行，一旦被成功利用，可能對使用 Struts 2 構(gòu)建的 Web 應(yīng)用程序的安全性構(gòu)成嚴重風險。

攻擊者可能會破壞受影響的服務(wù)器和網(wǎng)絡(luò)、執(zhí)行拒絕服務(wù)攻擊、竊取敏感數(shù)據(jù)或使用受感染的系統(tǒng)進行惡意軟件分發(fā)和其他網(wǎng)絡(luò)攻擊。

雖然目前還沒有出現(xiàn)黑客利用此漏洞攻擊的事件，但不能掉以輕心。該軟件之前的一個安全漏洞（CVE-2017-5638，CVSS 得分：10.0）曾在 2017 年被黑客利用，并入侵了美國消費者信用報告機構(gòu) Equifax。