【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)








近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5  此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码执行的恶意文件。


01 漏洞描述


VULNERABILITY DESC.






Apache Struts 2 是一个基于 Java 的开源 Web 应用框架,广泛用于企业级 Java Web 应用的开发。它采用 MVC(模型-视图-控制器)架构,旨在简化 Web 应用程序的开发和维护。Struts 2 提供强大的表单处理、内置的标签库、国际化支持以及灵活的插件扩展机制,允许开发者快速构建动态和可扩展的应用程序。其核心功能包括易于配置的 Action 管理、高效的请求处理以及与现代前端技术的良好集成,使其成为构建复杂 Web 应用的理想选择。若Apache Struts代码中使用了FileUploadInterceptor,文件上传逻辑中存在漏洞,攻击者可以操纵文件上传参数以启用路径遍历,上传恶意文件。


02 影响范围


IMPACT SCOPE






2.0.0 <= Struts <= 2.3.37(EOL)

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2



03 安全措施


SECURITY MEASURES






目前厂商已发布可更新版本,建议用户尽快更新至 Apache Struts 的修复版本或更高的版本:


Struts > 2.3.37(EOL)
Struts > 2.5.33
Struts > 6.3.0.2

下载链接:
https://github.com/apache/struts/releases



04 参考链接


REFERENCE LINK






1.https://github.com/apache/struts

2.https://cwiki.apache.org/confluence/display/WW/S2-067



05 技术支持


TECHNICAL SUPPORT






长按识别二维码,关注 "安全聚" 公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。


联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。



END



HISTORY
/
往期推荐

【漏洞预警 | 已复现】FOGPROJECT 文件名命令注入漏洞(CVE-2024-39914)



【漏洞预警 | 已复现】Apache OFBiz远程代码执行漏洞(CVE-2024-38856)




【漏洞预警 | 已复现】Splunk Enterprise 未授权任意文件读取漏洞(CVE-2024-36991)



【漏洞预警 | 已复现】Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)



查看原文