漏洞概述 | |||
漏洞名称 | Apache Struts 文件上传漏洞 | ||
漏洞编号 | QVD-2024-50398,CVE-2024-53677 | ||
公开时间 | 2024-12-11 | 影响量级 | 十万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 未公开 | 在野利用状态 | 未发现 |
EXP状态 | 未公开 | 技术细节状态 | 未公开 |
危害描述:成功利用可能导致文件上传获取服务器权限。 | |||
01 漏洞详情
影响组件
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
漏洞描述
近日,奇安信CERT监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677), Apache Struts 的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02 影响范围
影响版本
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
其他受影响组件
无
03 受影响资产情况
奇安信鹰图资产测绘平台数据显示,Apache Struts 文件上传漏洞(CVE-2024-53677)关联的全球风险资产总数为222105个,关联IP总数为95853个。全球风险资产分布情况如下:
04 处置建议
安全更新
目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用
ActionFileUploadInterceptor 作为文件上传组件:
https://github.com/apache/struts/releases
修复缓解措施:
1.检查是否使用了 FileUploadInterceptor 组件,如果并未使用则不受该漏洞影响;
2.实施严格的输入验证,确保所有上传的文件都符合预期的格式和大小限制;
3.将上传的文件存储在隔离的环境中,并限制对这些文件的执行权限,以减少潜在的损害。
05 参考资料
[1]https://github.com/apache/struts
[2]https://cwiki.apache.org/confluence/display/WW/S2-067
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
