Apache Struts 2 漏洞被发现，因为概念验证正在传播

在 Apache Struts 2 框架中发现的一个新漏洞已被 NIST 国家数据库评为严重级别。

Struts 2 网络应用程序框架中的一个新漏洞有可能使远程攻击者在运行基于该软件早期版本的应用程序的系统上执行代码。

该漏洞是 Apache 本周公布的，涉及潜在攻击者在所谓的路径遍历攻击中操纵文件上传参数。Akamai高级安全研究员Sam Tinklenberg表示，路径遍历是一个宽泛的术语。

"他说："在这种情况下，使用路径遍历可以让攻击者在正常上传目录之外上传恶意文件，很可能是一个webshell。"具体位置因应用程序而异，必须是可以从互联网访问的有效路径。

该漏洞只影响旧版本的 Struts 2 框架，升级到 2.5.33、6.3.0.2 或更高版本后，就不会再被利用。该漏洞最早由研究人员 Steven Seeley 报告。

阿帕奇软件基金会（Apache Software Foundation）的 Struts 维护者敦促用户立即打补丁，并表示更新是 "直接替换，升级应该很简单"。

有消息称，有人在野外发现了概念验证代码，这更增加了打补丁的紧迫性。非营利性安全组织 Shadowserver Foundation 在 X（前 Twitter）上发帖称，在传感器上发现了 PoC 代码。

Tinklenberg 说，Struts 2 是一种广泛使用的企业网络应用程序开发框架，因此是网络犯罪分子的常见目标。不过，他指出，在野外看到的 PoC 代码大多是通用扫描，目前并不代表迫在眉睫的威胁。

"他说："要想成功利用这一漏洞，攻击请求必须针对底层网络应用程序量身定制。"这不太可能，POC 中使用的路径和参数[必须]存在于现实世界的部署中，或具有所需的文件上传功能。

Struts 2 框架中的漏洞是 2017 年 3 月臭名昭著的 Equifax 外泄事件的根源，该事件导致数亿人的个人信息泄露，并给 Equifax 带来了广泛的批评。该公司被迫支付了超过 5 亿美元的诉讼和解金和罚款。