【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-13 11:39
- 赛博昆仑漏洞安全通告-
Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
漏洞描述
Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。
近日,赛博昆仑CERT监测到 Apache Struts 文件上传漏洞(CVE-2024-53677)的漏洞情报。在远程服务器代码中使用了FileUploadInterceptor作为文件上传组件时,Apache Struts在文件上传逻辑上存在漏洞。攻击者可以利用该漏洞进行路径遍历,成功利用该漏洞可以使攻击者能够上传恶意文件,从而导致远程代码执行。
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本
2.0.0 <= Apache Struts <= 2.3.37 (EOL)
2.5.0 <= Apache Struts <= 2.5.33
6.0.0 <= Apache Struts <= 6.3.0.2
漏洞利用条件
需要使用 FileUploadInterceptor
漏洞复现
目前赛博昆仑CERT已确认漏洞原理,复现截图如下:
复现版本为 Struts 6.3.0.2
尝试跨目录上传 evil.jsp 文件作为验证
防护措施
– 修复建议
目前,官方已发布修复建议,建议受影响的用户尽快升级至6.4.0及以上版本并且使用ActionFileUploadInterceptor作为文件上传组件。
下载地址:https://github.com/apache/struts/releases
- 技术业务咨询
赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。
赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。
联系邮箱:
[email protected]
公众号:赛博昆仑CERT
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-067
时间线
2024年12月11日,官方发布通告
2024年12月13日,赛博昆仑CERT公众号发布漏洞风险通告