【漏洞通告】Apache Struts 2 远程代码执行漏洞（CVE-2024-53677）

安迈信科应急响应中心 2024-12-19 12:35

01 漏洞概况      Apache Struts 2 多个受影响版本中文件上传逻辑存在缺陷，由于在文件上传过程中对用户提供的参数缺乏严格校验，攻击者可以通过操纵文件上传参数执行路径遍历攻击，某些情况下可能导致将恶意文件上传到服务器上的其他位置，从而导致远程代码执行。02 漏洞处置综合处置优先级：高漏洞信息漏洞名称Apache Struts 2 远程代码执行漏洞漏洞编号CVE编号CVE-2024-53677‍‍‍‍‍‍漏洞评估披露时间2024-12-12漏洞类型路径遍历、文件上传危害评级高危公开程度PoC未公开威胁类型路径遍历、文件上传‍‍‍‍利用情报在野利用未发现‍影响产品产品名称Apache Struts ‍‍‍‍‍‍‍受影响版本Apache Struts 2.0.0 – 2.3.37 (EOL)Apache Struts 2.5.0 – 2.5.33‍Apache Struts 6.0.0 – 6.3.0.2影响范围广有无修复补丁有

03 漏洞排查      用户尽快排查应用Apache Struts应用版本是否在Apache Struts 2.0.0 – 2.3.37 (EOL)、Apache Struts 2.5.0 – 2.5.33、Apache Struts 6.0.0 – 6.3.0.2。若存在应用使用，极大可能会受到影响。04 修复方案 目前该漏洞已经修复，受影响用户可将Apache Struts 框架升级到6.4.0或更高版本，并在升级后迁移到新的文件上传机制（即使用 Action File Upload Interceptor 来处理文件上传），从而防止该漏洞。下载链接：https://struts.apache.org/download.cgi‍‍‍‍‍‍‍‍‍‍‍‍‍注意：不使用FileUploadInterceptor 模块的应用程序不受该漏洞影响。参考链接：https://cwiki.apache.org/confluence/display/WW/S2-067https://nvd.nist.gov/vuln/detail/CVE-2024-5367705 时间线      2024.12.12 厂商发布安全补丁      2024.12.19 安迈信科安全运营团队发布通告   关于安迈信科西安安迈信科科技有限公司以“数字化可管理”为核心理念，坚持DevOps自主研发，创新打造“能力聚合、流程闭环、持续赋能”的综合性网络数据安全平台与运营服务。公司从古城西安出发，已在全国范围内为政府、运营商、电力、能源等行业客户提供了高质量的安全保障，并将继续为我国数字化转型和发展贡献力量。知 行 . 至 简 . 致 诚