近日，阿帕奇公司發布安全公告稱 Struts 2 開源 Web 應用程序框架存在嚴重安全漏洞，可能導致遠程代碼執行。

該漏洞被追蹤為 CVE-2023-50164，其根源在于文件上傳邏輯，該邏輯可實現未經授權的路徑遍歷，在這種情況下極易被用來上傳惡意文件并執行任意代碼。

Struts 是一個 Java 框架，主要使用模型-視圖-控制器（MVC）架構來構建面向企業的網絡應用程序。

Source Incite 的 Steven Seeley 發現并報告了這一漏洞，此漏洞可能影響以下幾個軟件版本：

• Struts 2.3.37（EOL）
• Struts 2.5.0 - Struts 2.5.32
• Struts 6.0.0 - Struts 6.3.0

其中，2.5.33 和 6.3.0.2 或更高版本中提供了該漏洞的補丁。

阿帕奇公司表示非常感謝 Source Incite 的 Steven Seeley 報告了該漏洞。此外，研究人員強烈建議所有 Struts 2 用戶立即安裝補丁，并更新到最新的網絡應用程序框架版本。并表示這是一個即插即用的替換程序，升級十分便捷。

風險和潛在影響

由于此漏洞允許任意遠程代碼執行，一旦被成功利用，可能對使用 Struts 2 構建的 Web 應用程序的安全性構成嚴重風險。

攻擊者可能會破壞受影響的服務器和網絡、執行拒絕服務攻擊、竊取敏感數據或使用受感染的系統進行惡意軟件分發和其他網絡攻擊。

雖然雖然目前還沒有出現黑客利用此漏洞攻擊的事件，但不能掉以輕心。該軟件之前的一個安全漏洞（CVE-2017-5638，CVSS 得分：10.0）曾在 2017 年被黑客利用，并入侵了美國消費者信用報告機構 Equifax。