【风险通报】关于Apache Struts2存在文件上传漏洞的风险提示
一、基本情况
Apache Struts2存在文件上传漏洞,攻击者可利用该漏洞,在特定的条件下,通过污染相关上传参数导致任意文件上传,执行任意代码,存在网络安全风险。
二、影响版本
Struts 2.0.0 - Struts 2.3.37
Struts 2.5.0 - Struts 2.5.32
Struts 6.0.0 - Struts 6.3.0
三、处置建议
1.如非必要,不对外暴露未授权文件上传接口;
2.如非必要,不完全依赖框架提供的文件上传拦截器;对上传文件做二次校验;
3.使用流量防护设备如TDP对流量进行监控,及时发现恶意文件上传行为及时处置。
官方已发布修复版本,建议用户参照影响版本,下载修复补丁:https://struts.apache.org/download.cgi
