一、漏洞详情

Apache Struts是一个免费、开源的MVC框架，用于创建Java Web应用程序。

Apache发布安全公告，修复了Struts 2中的两个拒绝服务漏洞：

CVE-2023-34149：Apache Struts 2拒绝服务漏洞（S2-063）

Apache Struts 2中，先前向XWorkListPropertyAccessor 添加了autoGrowCollectionLimit，但它只处理setProperty()而不处理getProperty()。如果开发人员已将底层Collection类型字段的 CreateIfNull设置为true，可能会由于未正确检查列表边界而导致OOM（内存耗尽），造成拒绝服务。

CVE-2023-34396：Apache Struts 2拒绝服务漏洞（S2-064）

Apache Struts 2多个受影响版本中，当多部分请求具有非文件标准格式字段时，Struts会将它们作为字符串放入内存，而不检查它们的大小。如果开发人员将struts.multipart.maxSize设置为等于或大于可用内存的值，则可能导致OOM，造成拒绝服务。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Struts <=2.5.30

Apache Struts <=6.1.2

三、修复建议

目前这些漏洞已经修复，受影响用户可更新到Apache Struts 2.5.31、6.1.2.1或更高版本。