漏洞描述
Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 存在安全漏洞,该漏洞源于file upload参数存在路径遍历漏洞。攻击者可利用该漏洞上传恶意文件并执行远程代码。受影响的产品和版本:Apache Struts 2.0.0至2.5.32版本,6.0.0至6.3.0.1版本。
漏洞危害
1)执行任意代码,攻击者可以通过上传恶意代码文件来控制服务器;2)数据泄露,攻击者可能通过上传恶意文件来获取敏感数据;3)服务中断,攻击者可能上传恶意文件导致服务器资源耗尽或服务不可用;4)法律风险,服务器上出现恶意内容可能导致法律责任。
修复方法
官方已发布安全修复版本,建议受影响的用户升级至Struts 2.5.33或Struts 6.3.0.2或更高版本
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2023-12-07
漏洞信息更新
2025-02-10