当前位置: 首页>>网信工作>>安全态势>>正文
安全态势
【风险通报】关于Apache Struts2存在文件上传漏洞的风险提示
2023-12-15 10:35  

一、基本情况

Apache Struts2存在文件上传漏洞,攻击者可利用该漏洞,在特定的条件下,通过污染相关上传参数导致任意文件上传,执行任意代码,存在网络安全风险。

二、影响版本

Struts 2.0.0 - Struts 2.3.37

Struts 2.5.0 - Struts 2.5.32

Struts 6.0.0 - Struts 6.3.0

三、处置建议

1.如非必要,不对外暴露未授权文件上传接口;

2.如非必要,不完全依赖框架提供的文件上传拦截器;对上传文件做二次校验;

3.使用流量防护设备如TDP对流量进行监控,及时发现恶意文件上传行为及时处置。官方已发布修复版本,建议用户参照影响版本,下载修复补丁:https://struts.apache.org/download.cgi

关闭窗口