Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞（CVE-2024-53677）

风险通告 阿里云应急响应 2024-12-12 06:11

2024年12月，Apache 
官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。

01

风险描述

Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。2024年12月，Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中，若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录，在特定场景下可能造成代码执行。

02

风险评级

CVE-2024-53677 Apache Struts 文件上传漏洞 高危

03

版本影响范围

Struts 2.0.0 – Struts 2.3.37

Struts 2.5.0 – Struts 2.5.33

Struts 6.0.0 – Struts 6.3.0.2

04

安全建议

1、升级组件 Apache Struts 升级至 6.4.0 及以上版本。 

2、自行排查代码中是否使用 FileUploadInterceptor，若无使用则不受该漏洞影响。

05

相关链接

https://avd.aliyun.com/detail/AVD-2024-53677

https://cwiki.apache.org/confluence/display/WW/S2-067