近日，阿帕奇公司發布安全公告稱 Struts 2 開源 Web 應用程序框架存在嚴重安全漏洞，可能導致遠程代碼執行。

該漏洞被追蹤為 CVE-2023-50164，其根源在于文件上傳邏輯，該邏輯可實現未經授權的路徑遍歷，在這種情況下極易被用來上傳惡意文件并執行任意代碼。

Shadowserver 掃描平臺的研究人員稱，已觀察到少量黑客參與了漏洞利用。

圖源：Bleeping Computer

Apache Struts 是一個開源 Web 應用程序框架，旨在簡化 Java EE Web 應用程序的開發，提供基于表單的界面和廣泛的集成功能。

該產品廣泛用于私營和公共部門（包括政府組織）的各個行業，因為它可以有效地構建可擴展、可靠且易于維護的 Web 應用程序。

此次的漏洞可能允許攻擊者上傳惡意文件，并在目標服務器上實現遠程代碼執行 （RCE）。黑客一旦成功利用此類漏洞，就可以修改敏感文件、竊取數據、中斷關鍵服務等。

Source Incite 的 Steven Seeley 發現并報告了這一漏洞，此漏洞可能影響以下幾個軟件版本：

• Struts 2.3.37（EOL）
• Struts 2.5.0 - Struts 2.5.32
• Struts 6.0.0 - Struts 6.3.0

其中，2.5.33 和 6.3.0.2 或更高版本中提供了該漏洞的補丁。

阿帕奇公司表示非常感謝 Source Incite 的 Steven Seeley 報告了該漏洞。此外，研究人員強烈建議所有 Struts 2 用戶立即安裝補丁，并更新到最新的網絡應用程序框架版本。并表示這是一個即插即用的替換程序，升級十分便捷。

思科可能受到影響

思科在本周二（12月12日）發布的安全公告中表示正在調查 CVE-2023-50164，繼而確定哪些采用 Apache Struts 的產品可能受到影響，以及受影響的程度。

接受分析的思科產品包括客戶協作平臺（Customer Collaboration Platform）、身份服務引擎（ISE）、Nexus Dashboard Fabric Controller（NDFC）、統一通信管理器（Unified CM）、統一聯絡中心企業版（Unified CCE）和 Prime Infrastructure。

可能受影響產品的完整列表可在思科的安全公告中找到，該公告預計將根據最新信息進行更新。

風險和潛在影響

由于此漏洞允許任意遠程代碼執行，一旦被成功利用，可能對使用 Struts 2 構建的 Web 應用程序的安全性構成嚴重風險。

攻擊者可能會破壞受影響的服務器和網絡、執行拒絕服務攻擊、竊取敏感數據或使用受感染的系統進行惡意軟件分發和其他網絡攻擊。

雖然目前還沒有出現黑客利用此漏洞攻擊的事件，但不能掉以輕心。該軟件之前的一個安全漏洞（CVE-2017-5638，CVSS 得分：10.0）曾在 2017 年被黑客利用，并入侵了美國消費者信用報告機構 Equifax。