关于防范Apache Struts2任意文件上传超危漏洞的风险提示

    近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源应用框架Apache Struts2存在任意文件上传超危漏洞，可被恶意利用实现远程代码执行，导致敏感数据泄露和系统受控。

    Apache Struts2是一款开源Java Web应用程序开发框架，广泛用于构建企业级Web应用程序。因该框架中FileUploadInterceptor组件存在逻辑缺陷，攻击者可利用文件上传构造恶意请求，通过操纵文件上传参数执行路径遍历，将恶意文件上传至其他目录，实现远程代码执行。受影响版本包括：2.0.0≤ver≤2.3.37、2.5.0≤ver≤2.5.33、6.0.0≤ver≤6.3.0.2。目前，Apache基金会官方已修复该漏洞并发布安全公告（URL链接：https://cwiki.apache.org/confluence/display/WW/S2-067）。

    建议相关单位和用户立即开展全面排查，按照官方安全公告升级至6.4.0或更高版本，并使用ActionFileUploadInterceptor作为文件上传组件，或采取禁用FileUploadInterceptor、添加上传文件类型白名单、加强系统和网络的访问控制等安全防护措施，防范网络攻击风险。

    感谢北京启明星辰信息安全技术有限公司、北京微步在线科技有限公司、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京长亭科技有限公司、奇安信网神信息技术（北京）股份有限公司等提供技术支持。

原文始发于微信公众号（网络安全威胁和漏洞信息共享平台）：关于防范Apache Struts2任意文件上传超危漏洞的风险提示