版本 2.0.0至2.5.32和6.0.0至6.3.0.1 受到影响。您需要尽快更新。

Apache 开发人员已针对流行的开源 Web 框架Apache Struts 2中的一个严重漏洞发布了修复程序，该漏洞的标识符为 CVE-2023-50164，该漏洞可能导致远程代码执行 (RCE)。该漏洞的发现者是 Source Incite 的 bughunter Stephen Seely。

CVE-2023-50164允许攻击者操纵文件上传选项，这可能导致路径遍历和上传用于远程代码执行的恶意文件。有关该漏洞的更多详细信息尚未披露。

该问题影响 Apache Struts 版本2.0.0至2.5.32以及6.0.0 至6.3.0.1。反过来，从版本2.5.33和6.3.0.2 开始集成修复。

强烈鼓励 Web 开发人员执行此更新，该过程不会花费太多时间，也不需要对当前配置进行任何更改。

Apache Struts 2经常被攻击者用来进行攻击。这是一个现代的开放式Java框架，用于创建可在企业环境中使用的 Web 应用程序。不再支持其前身 Apache Struts 1。

2017年，美国Equifax网站的安全漏洞以及随后的大规模数据泄露，正是由于Apache Struts 2的漏洞以及责任人没有及时采取措施消除漏洞而造成的。