近日，安全团队检测到Apache Struts文件上传漏洞（CVE-2023-50164）。经过分析和研判，攻击者可利用该漏洞，在特定的条件下，通过污染相关上传参数导致任意文件上传，执行任意代码，建议及时修复。

一、受影响版本

Struts2.0.0-Struts2.3.37

Struts2.5.0-Struts2.5.32

Struts6.0.0-Struts6.3.0

二、安全防范建议

1、临时缓解方案

如非必要，不对外暴露未授权文件上传接口

如非必要，不完全依赖框架提供的文件上传拦截器；对上传文件做二次校验

使用流量防护设备如TDP 对流量进行监控，及时发现恶意文件上传行为

2、升级修复方案

官方已发布修复版本，建议用户参照前文影响版本，前往以下链接下载修复版本

https://struts.apache.org/download.cgi

请各单位全面排查该漏洞存在情况，及时更新系统版本，堵塞系统漏洞，若有疑问请联系网信办。

网络安全与信息化办公室

                              2023年12月28日