Apache警告Struts 2中的关键漏洞

Apache警告客户，其流行的Struts 2框架存在一个严重的远程代码执行(RCE)漏洞。

Apache Struts 2是一个用于开发Java EE web应用程序的开源web应用程序框架。

新的漏洞CVE-2023-50164，已经给出了最高严重等级，影响Struts 2.0.0-2.3.37 (EOL)， Struts 2.5.0-2.5.32和Struts 6.0.0-6.3.0。

Atlassian Confluence的一份摘要解释说：“攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。”

Struts 2开发人员和用户被敦促立即升级到2.5.33版本，或Struts 6.3.0.2或更高版本。

Qualys安全研究经理Mayuresh Dani解释说：“这是一个高度严重的漏洞，因为它不仅仅是一个简单的目录遍历漏洞。任何允许文件上传的脆弱的Struts 2实现都允许攻击者上传恶意文件，从而执行代码。根据应用程序的安装，代码可以使用web服务器或指定用户的特权执行。”

他补充说：“如果客户不能立即打补丁，他们应该确保应用程序配置为只接受授权的文件类型，并限制上传文件的大小。”

Qualys的技术内容开发人员Diksha Ojha解释说：“Apache Struts有助于构建复杂的现代Java web应用程序。它可以通过插件架构进行扩展，优先考虑约定而不是配置，并附带AJAX, REST和JSON插件。”

建议用户遵循Apache的补丁指南，因为Equifax未能修补Struts2的一个主要漏洞，最终导致2017年该信贷机构发生了一次极具破坏性的漏洞。

尽管在2017年3月7日发布了修复CVE-2017-5638的更新，但该漏洞没有得到修补，公司的内部扫描过程也没有按预期工作。

这使得威胁行为者可以利用CVE，并在2017年3月10日通过消费者投诉门户网站访问网络，利用糟糕的分割和以纯文本形式存储的密码和用户名进行横向移动。

威胁研究人员后来警告说，如果不打补丁，成千上万运行Struts 2的应用程序可能会以同样的方式成为恶意行为者的攻击目标。