-赛博昆仑漏洞安全通告-

Apache Struts 文件上传漏洞（CVE-2024-53677）风险通告

漏洞描述

Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心，吸收了Struts框架的部分优点，提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。

近日，赛博昆仑CERT监测到 Apache Struts 文件上传漏洞（CVE-2024-53677）的漏洞情报。在远程服务器代码中使用了FileUploadInterceptor作为文件上传组件时，Apache Struts在文件上传逻辑上存在漏洞。攻击者可以利用该漏洞进行路径遍历，成功利用该漏洞可以使攻击者能够上传恶意文件，从而导致远程代码执行。

2.0.0 <= Apache Struts <= 2.3.37 (EOL)

2.5.0 <= Apache Struts <= 2.5.33

6.0.0 <= Apache Struts <= 6.3.0.2

需要使用 FileUploadInterceptor

目前赛博昆仑CERT已确认漏洞原理，复现截图如下：

复现版本为 Struts 6.3.0.2  

尝试跨目录上传 evil.jsp 文件作为验证

• 修复建议

目前，官方已发布修复建议，建议受影响的用户尽快升级至6.4.0及以上版本并且使用ActionFileUploadInterceptor作为文件上传组件。

下载地址：https://github.com/apache/struts/releases

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

参考链接

2024年12月11日，官方发布通告

2024年12月13日，赛博昆仑CERT公众号发布漏洞风险通告