快讯丨工信部：关于防范Apache Struts2任意文件上传超危漏洞的风险提示

发布于2025年1月6日2025年7月19日作者:cve-20

快讯丨工信部：关于防范Apache Struts2任意文件上传超危漏洞的风险提示

工业安全产业联盟平台 2025-01-06 10:56

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源应用框架Apache Struts2存在任意文件上传超危漏洞，可被恶意利用实现远程代码执行，导致敏感数据泄露和系统受控。

Apache Struts2是一款开源Java Web应用程序开发框架，广泛用于构建企业级Web应用程序。因该框架中FileUploadInterceptor组件存在逻辑缺陷，攻击者可利用文件上传构造恶意请求，通过操纵文件上传参数执行路径遍历，将恶意文件上传至其他目录，实现远程代码执行。受影响版本包括：2.0.0≤ver≤2.3.37、2.5.0≤ver≤2.5.33、6.0.0≤ver≤6.3.0.2。目前，Apache基金会官方已修复该漏洞并发布安全公告（URL链接：https://cwiki.apache.org/confluence/display/WW/S2-067）。

建议相关单位和用户立即开展全面排查，按照官方安全公告升级至6.4.0或更高版本，并使用ActionFileUploadInterceptor作为文件上传组件，或采取禁用FileUploadInterceptor、添加上传文件类型白名单、加强系统和网络的访问控制等安全防护措施，防范网络攻击风险。

感谢北京启明星辰信息安全技术有限公司、北京微步在线科技有限公司、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京长亭科技有限公司、奇安信网神信息技术（北京）股份有限公司等提供技术支持。

· end ·

来源 | 网络安全威胁和漏洞信息共享平台

责任编辑 | 赫敏

声明：本文由工业安全产业联盟平台微信公众号（微信号：ICSISIA）转发，如有版权问题，请联系删除。