Apache警告客户,其流行的Struts 2框架存在一个严重的远程代码执行(RCE)漏洞。
Apache Struts 2是一个用于开发Java EE web应用程序的开源web应用程序框架。
新的漏洞CVE-2023-50164,已经给出了最高严重等级,影响Struts 2.0.0-2.3.37 (EOL), Struts 2.5.0-2.5.32和Struts 6.0.0-6.3.0。
Atlassian Confluence的一份摘要解释说:“攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下,这可能导致上传可用于执行远程代码执行的恶意文件。”
Struts 2开发人员和用户被敦促立即升级到2.5.33版本,或Struts 6.3.0.2或更高版本。
Qualys安全研究经理Mayuresh Dani解释说:“这是一个高度严重的漏洞,因为它不仅仅是一个简单的目录遍历漏洞。任何允许文件上传的脆弱的Struts 2实现都允许攻击者上传恶意文件,从而执行代码。根据应用程序的安装,代码可以使用web服务器或指定用户的特权执行。”
他补充说:“如果客户不能立即打补丁,他们应该确保应用程序配置为只接受授权的文件类型,并限制上传文件的大小。”
Qualys的技术内容开发人员Diksha Ojha解释说:“Apache Struts有助于构建复杂的现代Java web应用程序。它可以通过插件架构进行扩展,优先考虑约定而不是配置,并附带AJAX, REST和JSON插件。”
建议用户遵循Apache的补丁指南,因为Equifax未能修补Struts2的一个主要漏洞,最终导致2017年该信贷机构发生了一次极具破坏性的漏洞。
尽管在2017年3月7日发布了修复CVE-2017-5638的更新,但该漏洞没有得到修补,公司的内部扫描过程也没有按预期工作。
这使得威胁行为者可以利用CVE,并在2017年3月10日通过消费者投诉门户网站访问网络,利用糟糕的分割和以纯文本形式存储的密码和用户名进行横向移动。
威胁研究人员后来警告说,如果不打补丁,成千上万运行Struts 2的应用程序可能会以同样的方式成为恶意行为者的攻击目标。