正文

Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告

admin
admin V管理员 /0 评论 /47 阅读
1217
此篇文章发布距今已超过25天,您需要注意文章的内容或图片是否可用!

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Apache Struts 文件上传漏洞

漏洞编号

QVD-2024-50398,CVE-2024-53677

公开时间

2024-12-11

影响量级

十万级

奇安信评级

高危

CVSS 3.1分数

8.1

威胁类型

代码执行

利用可能性

POC状态

未公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

未公开

危害描述:成功利用可能导致文件上传获取服务器权限。

01
漏洞详情
>>>>

影响组件

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。

>>>>

漏洞描述

近日,奇安信CERT监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677), Apache Struts 的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02
影响范围
>>>>

影响版本

2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
>>>>

其他受影响组件

03
受影响资产情况

奇安信鹰图资产测绘平台数据显示,Apache Struts 文件上传漏洞(CVE-2024-53677)关联的全球风险资产总数为222105个,关联IP总数为95853个。全球风险资产分布情况如下:

04
处置建议
>>>>

安全更新

目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用

ActionFileUploadInterceptor 作为文件上传组件:

https://github.com/apache/struts/releases

修复缓解措施:

1.检查是否使用了 FileUploadInterceptor 组件,如果并未使用则不受该漏洞影响;

2.实施严格的输入验证,确保所有上传的文件都符合预期的格式和大小限制;

3.将上传的文件存储在隔离的环境中,并限制对这些文件的执行权限,以减少潜在的损害。

05
参考资料

[1]https://github.com/apache/struts

[2]https://cwiki.apache.org/confluence/display/WW/S2-067

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677

06
时间线

2024年12月12日,奇安信 CERT发布安全风险通告。

07


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下