漏洞描述:
Apache Struts2发布安全公告,披露了一个文件上传限制不当漏洞,该漏洞是由于Apache Struts2 中的文件上传中存在逻辑缺陷,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,上传可用于执行远程代码的恶意文件,漏洞影响启用了FileUploadInterceptor模块的应用,不启用FileUploadInterceptor模块的应用不受该漏洞影响,鉴于漏洞影响较大,建议受影响用户及时采取防护措施。
漏洞修复建议:
正式防护方案:
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:
Apache Struts 2 >= 6.4.0
下载链接:
https://struts.apache.org/download.cgi#struts-ga
安装前,请确保备份所有关键数据。
安装后,必须重写您的业务代码才能开始使用新的操作文件上传机制和相关的拦截器,继续使用旧的文件上传机制会让你容易受到这种攻击。
文件上传机制业务代码链接:
https://struts.apache.org/core-developers/action-file-upload
上述操作完成后,建议您进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067