漏洞背景

近日，嘉诚安全监测到Apache Struts2存在远程代码执行漏洞，漏洞编号为：CVE-2023-50164。

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。该漏洞是由于文件上传逻辑存在缺陷，攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

危害影响

影响版本

2.5.0<=Apache Struts2<=2.5.32

6.0.0<=Apache Struts2<=6.3.0

修复建议

根据影响版本中的信息，建议相关用户将Apache Struts2升级至2.5.33、6.3.0.2及以上版本，参考链接：

https://struts.apache.org/download.cgi