Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
奇安信 CERT 2024-12-12 07:00
●
点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Apache Struts 文件上传漏洞 |
||
|
漏洞编号 |
QVD-2024-50398,CVE-2024-53677 |
||
|
公开时间 |
2024-12-11 |
影响量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
8.1 |
|
威胁类型 |
代码执行 |
利用可能性 |
高 |
|
POC状态 |
未公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
危害描述:成功利用可能导致文件上传获取服务器权限。 |
|||
01
漏洞详情
>
>
>
>
影响组件
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
>
>
>
>
漏洞描述
近日,奇安信CERT监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677), Apache Struts 的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
02
影响范围
>
>
>
>
影响版本
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
>
>
>
>
其他受影响组件
无
03
受影响资产情况
奇安信鹰图资产测绘平台数据显示,
Apache Struts 文件上传漏洞(CVE-2024-53677)
关联的全球风险资产总数为222105个,关联IP总数为95853个。
全球风险资产分布情况如下:
04
处置建议
>
>
>
>
安全更新
目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用
ActionFileUploadInterceptor 作为文件上传组件:
https://github.com/apache/struts/releases
修复缓解措施:
1.检查是否使用了 FileUploadInterceptor 组件,如果并未使用则不受该漏洞影响;
2.实施严格的输入验证,确保所有上传的文件都符合预期的格式和大小限制;
3.将上传的文件存储在隔离的环境中,并限制对这些文件的执行权限,以减少潜在的损害。
05
参考资料
[1]
https://github.com/apache/struts
[2]https://cwiki.apache.org/confluence/display/WW/S2-067
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677
06
时间线
2024年12月12日,奇安信 CERT发布安全风险通告。
07
漏洞情报服务
奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务:
奇安信 CERT
致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。
点击↓阅读原文,到ALPHA威胁分析平台
订阅更多漏洞信息。