2024-12-16 16:2:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | Apache Struts 文件上传漏洞 | ||
漏洞编号 | QVD-2024-50398,CVE-2024-53677 | ||
公开时间 | 2024-12-11 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:成功利用可能导致文件上传获取服务器权限。 | |||
影响组件
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
漏洞描述
本次更新内容:
更新漏洞状态;
新增产线解决方案;
新增复现截图。
影响版本
其他受影响组件
无
目前,奇安信威胁情报中心安全研究员已成功复现Apache Struts 文件上传漏洞(CVE-2024-53677),截图如下:
奇安信鹰图资产测绘平台数据显示,Apache Struts 文件上传漏洞(CVE-2024-53677)关联的全球风险资产总数为222105个,关联IP总数为95853个。全球风险资产分布情况如下:
安全更新
目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用
ActionFileUploadInterceptor 作为文件上传组件:
https://github.com/apache/struts/releases
修复缓解措施:
1.检查是否使用了 FileUploadInterceptor 组件,如果并未使用则不受该漏洞影响;
2.实施严格的输入验证,确保所有上传的文件都符合预期的格式和大小限制;
3.将上传的文件存储在隔离的环境中,并限制对这些文件的执行权限,以减少潜在的损害。
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士20241216. 840版本已支持对Apache Struts 文件上传漏洞(CVE-2024-53677)的检测。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache Struts 文件上传漏洞(CVE-2024-53677)的防护。
[1]https://github.com/apache/struts
[2]https://cwiki.apache.org/confluence/display/WW/S2-067
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677
2024年12月12日,奇安信 CERT发布安全风险通告。
2024年12月16日,奇安信 CERT发布安全风险通告第二次更新。
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。
如有侵权请联系:admin#unsafe.sh