攻击者正试图利用公开的漏洞利用证明（PoC）代码来攻击 Apache Struts 2 中最近修补过的路径遍历漏洞 CVE-2023-50164。

"Akamai的安全情报小组周三指出："攻击者的目标是部署webshell，其中一些情况针对的是参数'fileFileName'--这与最初的漏洞利用PoC有所不同。

Shadowserver 基金会也开始注意到其传感器中的利用企图，不过他们认为这些企图不会得逞。

关于漏洞

由 Source Incite 的 Steven Seeley 报告的CVE-2023-50164 可通过操作文件上传参数实现路径遍历，在某些情况下，攻击者可上传恶意文件，并利用这些文件实现远程代码执行。

该漏洞影响 Apache Struts 版本：

2.0.0 至 2.5.326.0.0 至 6.3.0.12.0.0 至 2.3.37（不再受支持）

Apache Struts 2.5.33 和 6.3.0.2 版本已对该问题进行了修复，并敦促Struts 2 开发人员和用户尽快升级，目前还没有解决方法。

CVE-2023-50164 的 PoC 漏洞利用代码已公开

12 月 12 日发布了对该漏洞的分析和重现，作者指出："这个漏洞需要根据不同的场景制作不同的 POC，因为如果在文件上传点进行严格的拦截和检查，就很难绕过这个漏洞"。

GreyNoise 公司的检测工程师 Matthew Remacle 发表了一份分析报告。

他指出，Apache Struts 嵌入了各种企业级应用程序，并指出："虽然[研究人员]已经证明，可以将任意 shell.jsp 或 webshell 丢弃到 Apache Struts2 到网络应用程序中（......），但被丢弃的 shell.jsp 文件必须位于攻击者可以远程到达的有效路由中，才能被触发。这一点会因网络应用程序而异"。

"他总结说："我很想知道未来几周会发生什么，根据不同的供应商产品和服务器端的实施方式，会有几种不同的变化，这取决于业务使用逻辑。

漏洞研究人员 Ákos Jakab 于 12 月 13 日发布了一个PoC 漏洞利用脚本，但它只有在目标应用程序部署到 Apache Tomcat 时才会起作用。