Apache Struts2 文件上传漏洞

Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts 存在安全漏洞，该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本：Apache Struts 2.0.0至2.5.32版本，6.0.0至6.3.0.1版本。

1）执行任意代码，攻击者可以通过上传恶意代码文件来控制服务器；2）数据泄露，攻击者可能通过上传恶意文件来获取敏感数据；3）服务中断，攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用；4）法律风险，服务器上出现恶意内容可能导致法律责任。

通过NetApp支持网站的软件下载部分获取修复补丁：https://mysupport.netapp.com/site/downloads/。无法访问支持网站的客户应联系技术支持以获取补丁。
升级到Apache Struts版本6.3.0.1或更高版本。更多信息请参阅官方Apache Struts安全公告页面：https://struts.apache.org/security/