一、漏洞详情
Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。
近日,监测到Apache Struts 2中修复了一个拒绝服务漏洞(CVE-2023-41835)。Apache Struts受影响版本中,当执行Multipart请求但某些字段超过maxStringLength限制时,即使请求被拒绝,上传文件也会保留在struts.multipart.saveDir中,可利用该漏洞导致磁盘使用过多,造成拒绝服务。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache Struts 2.5.31
Apache Struts 6.1.2.1
Apache Struts 6.3.0
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache Struts 2.5.32
Apache Struts 6.1.2.2
Apache Struts 6.3.0.1