Equifax 上周曝出 1.43 亿美国用户的敏感信息在线泄露，当时他们声称黑客利用 Web 应用漏洞入侵数据库，但并未披露任何细节。本周，Equifax 证实，宣称黑客利用了开源项目 Apache Struts漏洞 CVE-2017-5638 。 [出自:jiwo.org]

漏洞利用特制的 HTTP Headers（HTTP 首部/ HTTP 报文）允许黑客者在受害者的电脑上执行任意命令。该漏洞被标记为“大规模”，影响了无数网站，其中攻击的两个工作版本也在网上公布。目前，许多大型机构，如银行、政府机构和一些世界顶级公司，都在应用程序中使用 Apache Struts。

Apache Struts 是在今年 3 月 6 日发布修复漏洞补丁，而黑客对 Equifax 的入侵发生在 5 月中旬，也就是 Equifax 没有及时打上补丁，让黑客能利用已修复的漏洞入侵系统。研究人员表示，像这样的漏洞会不时发生，非常难以避免。因此强烈建议Equifax 尽快安装补丁。不过，修复该漏洞较为繁琐，涉及到手动更新、测试并重新部署到公司使用的所有 Apache Struts Web 应用程序中。