【已复现】Apache Struts文件上传漏洞（CVE-2024-53677）

cexlife 飓风网络安全 2024-12-17 15:21

漏洞描述:

Apache Struts是一个开源的、用于构建企业级Java Web应用的MVC框架,2024年12月,官方披露CVE-2024-53677ApacheStruts FileUploadInterceptor文件上传漏洞,在受影响版本中,若代码中使用了FileUploadInterceptor,则可能在进行文件上传时攻击者可能上传文件至其他目录,在特定场景下可能造成代码执行。

版本影响范围:Struts 2.0.0-Struts 2.3.37Struts 2.5.0-Struts 2.5.33Struts 6.0.0-Struts 6.3.0.2
修复建议:

1.升级组件Apache Struts升级至6.4.0及以上版本

2.自行排查代码中是否使用FileUploadInterceptor,若无使用则不受该漏洞影响。
下载地址:https://github.com/apache/struts/releases参考链接:https://cwiki.apache.org/confluence/display/WW/S2-067