工信部网络安全平台监测到Apache Struts2框架存在任意文件上传漏洞，攻击者可远程执行代码，泄露敏感数据。该漏洞源于FileUploadInterceptor组件的逻辑缺陷，允许恶意文件上传并执行路径遍历。受影响版本广泛，包括2.0.0至6.3.0.2。官方已发布补丁，建议用户立即升级至6.4.0或更高版本，并采取其他安全措施，如使用ActionFileUploadInterceptor、禁用FileUploadInterceptor、设置白名单和加强访问控制，以防范网络攻击。

⚠️Apache Struts2框架存在任意文件上传超危漏洞，可被恶意利用实现远程代码执行，导致敏感数据泄露和系统受控。

🛠️漏洞根源在于FileUploadInterceptor组件的逻辑缺陷，攻击者可构造恶意请求，操纵文件上传参数执行路径遍历，将恶意文件上传至其他目录。

🛡️受影响版本包括2.0.0≤ver≤2.3.37、2.5.0≤ver≤2.5.33、6.0.0≤ver≤6.3.0.2，官方已发布安全公告并提供补丁，建议立即升级至6.4.0或更高版本。

🔒官方建议采取多种安全防护措施，包括使用ActionFileUploadInterceptor作为文件上传组件、禁用FileUploadInterceptor、添加上传文件类型白名单、加强系统和网络的访问控制。

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源应用框架Apache Struts2存在任意文件上传超危漏洞，可被恶意利用实现远程代码执行，导致敏感数据泄露和系统受控。

Apache Struts2是一款开源Java Web应用程序开发框架，广泛用于构建企业级Web应用程序。因该框架中FileUploadInterceptor组件存在逻辑缺陷，攻击者可利用文件上传构造恶意请求，通过操纵文件上传参数执行路径遍历，将恶意文件上传至其他目录，实现远程代码执行。受影响版本包括：2.0.0≤ver≤2.3.37、2.5.0≤ver≤2.5.33、6.0.0≤ver≤6.3.0.2。目前，Apache基金会官方已修复该漏洞并发布安全公告（URL链接：https://cwiki.apache.org/confluence/display/WW/S2-067）。

建议相关单位和用户立即开展全面排查，按照官方安全公告升级至6.4.0或更高版本，并使用ActionFileUploadInterceptor作为文件上传组件，或采取禁用FileUploadInterceptor、添加上传文件类型白名单、加强系统和网络的访问控制等安全防护措施，防范网络攻击风险。

感谢北京启明星辰信息安全技术有限公司、北京微步在线科技有限公司、北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、北京长亭科技有限公司、奇安信网神信息技术（北京）股份有限公司等提供技术支持。

声明：本文来自网络安全威胁和漏洞信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。