Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告

Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
2024-12-12 15:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

● 点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	Apache Struts 文件上传漏洞
漏洞编号	QVD-2024-50398,CVE-2024-53677
公开时间	2024-12-11	影响量级	十万级
奇安信评级	高危	CVSS 3.1分数	8.1
威胁类型	代码执行	利用可能性	高
POC状态	未公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	未公开
危害描述：成功利用可能导致文件上传获取服务器权限。

漏洞详情

>>>>

影响组件

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

>>>>

漏洞描述

近日，奇安信CERT监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677)， Apache Struts 的文件上传逻辑中存在漏洞，若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用，攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

影响范围

>>>>

影响版本

2.0.0 <= Struts <= 2.3.37（EOL）

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2

>>>>

其他受影响组件

无

受影响资产情况

奇安信鹰图资产测绘平台数据显示，Apache Struts 文件上传漏洞(CVE-2024-53677)关联的全球风险资产总数为222105个，关联IP总数为95853个。全球风险资产分布情况如下：

处置建议

>>>>

安全更新

目前官方已发布安全更新，建议用户尽快升级至6.4.0及以上版本并使用

ActionFileUploadInterceptor 作为文件上传组件：

https://github.com/apache/struts/releases

修复缓解措施：

1.检查是否使用了 FileUploadInterceptor 组件，如果并未使用则不受该漏洞影响；

2.实施严格的输入验证，确保所有上传的文件都符合预期的格式和大小限制；

3.将上传的文件存储在隔离的环境中，并限制对这些文件的执行权限，以减少潜在的损害。

参考资料

[1]https://github.com/apache/struts

[2]https://cwiki.apache.org/confluence/display/WW/S2-067

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677

时间线

2024年12月12日，奇安信 CERT发布安全风险通告。

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

漏洞订阅上线.png

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。

文章来源: https://mp.weixin.qq.com/s?__biz=MzU5NDgxODU1MQ==&mid=2247502622&idx=1&sn=b09b74ae58ce913511ebc0fee0ec7fef&chksm=fe79ef86c90e669039b61b9b5924eb24b667153b9a47d4a40f3e2738878d49b38d48f228edfe&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh