Apache修复 Struts 2 中的严重 RCE 漏洞

鉴于 Struts 漏洞与2017年爆发的“完全可阻止的” Equifax 泄露事件有关，因此Apache Foundation 这么做也无可厚非。Apache Foundation 在安全公告中称，“攻击者可操控文件上传参数，造成路径遍历后果，而在某些情况下，这样做可导致恶意文件上传，从而进行远程代码执行。”

受影响版本包括：

未使用 Struts 的File Upload Interceptor 组件的应用并不受影响，因为该组件从6.4.0 起就被弃用并在7.0.0版本中被完全删除。

Apache Foundation 提到，在升级过程中，建议用户将文件上传机制更新为 Action File Upload Interceptor（自6.4.0版本开始就取代了上述提到的 File Upload Interceptor组件）。File Upload Interceptor 被弃用的原因与配置选项、安全性、性能和集成能力等均有关。

升级该机制并不像应用简单的更新那样轻松。用户必须重写操作，确保与 Action File Upload 的兼容性，而继续使用旧版本不可行，正如Apache 提到的，“使用旧的File Upload 机制的用户仍然易受攻击。”

尽管如今web app 开发人员经常选择不同的框架，但Struts 2 仍然热度不减。当 Sonatype 公司在去年分析性质和严重程度都类似于CVE-2024-53677的漏洞CVE-2023-50164时提到，Struts 2 每个月的下载量约为30万次，而其中80%都包含该严重漏洞。

CISA 将8个Apache Struts 漏洞纳入其必修清单，其中7个可导致远程代码执行后果，而CVE-2017-5638（即Equifax事件中涉及的漏洞）更是已被用于勒索攻击活动。