【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
Apache Struts 2 是一个基于 Java 的开源 Web 应用框架,广泛用于企业级 Java Web 应用的开发。它采用 MVC(模型-视图-控制器)架构,旨在简化 Web 应用程序的开发和维护。Struts 2 提供强大的表单处理、内置的标签库、国际化支持以及灵活的插件扩展机制,允许开发者快速构建动态和可扩展的应用程序。其核心功能包括易于配置的 Action 管理、高效的请求处理以及与现代前端技术的良好集成,使其成为构建复杂 Web 应用的理想选择。若Apache Struts代码中使用了FileUploadInterceptor,文件上传逻辑中存在漏洞,攻击者可以操纵文件上传参数以启用路径遍历,上传恶意文件。
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
目前厂商已发布可更新版本,建议用户尽快更新至 Apache Struts 的修复版本或更高的版本:
下载链接:
https://github.com/apache/struts/releases
1.https://github.com/apache/struts
2.https://cwiki.apache.org/confluence/display/WW/S2-067
长按识别二维码,关注 "安全聚" 公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
【漏洞预警 | 已复现】FOGPROJECT 文件名命令注入漏洞(CVE-2024-39914)
【漏洞预警 | 已复现】Splunk Enterprise 未授权任意文件读取漏洞(CVE-2024-36991)
【漏洞预警 | 已复现】Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)