1、漏洞概述

Apache Struts 2文件上傳漏洞（CVE-2023-50164）

2、漏洞詳情

Apache Struts 是一個開源的、用于構建企業(yè)級Java Web應用的MVC框架。2023年12月，官方披露CVE-2023-50164 Apache Struts 文件上傳漏洞。

3、漏洞危害：

漏洞評級：高危    

Apache Struts 2中多個受影響的版本中，由于文件上傳邏輯存在缺陷，攻擊者可操縱文件上傳參數(shù)導致路徑遍歷，進而上傳可用于執(zhí)行遠程代碼執(zhí)行的惡意文件。

4、影響范圍

Struts 2.0.0 - Struts 2.3.37

Struts 2.5.0 - Struts 2.5.32

Struts 6.0.0 - Struts 6.3.0

安全版本：

Struts 2.5.33

Struts 6.3.0.2

5、修復方案

目前該漏洞已修復，受影響用戶可升級至Strus 2.5.33、Struts 6.3.0.2或更高版本。