补丁警报：发现关键的Apache Struts漏洞（CVE-2024-53677）

独角鲸安全实验室 独角鲸网络安全实验室 2024-12-22 23:35

威胁者正试图利用最近披露的影响Apache Struts的安全缺陷，这可能为远程代码执行铺平道路。## 漏洞详情
– 追踪编号
：CVE-2024-53677

• CVSS评分
  ：9.5/10.0，显示为严重

• 与先前漏洞相似
  ：与2023年12月解决的CVE-2023-50164（CVSS评分：9.8）相似，后者在公开披露后不久也受到积极利用。

网络安全警告

“
“攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，这可能导致上传恶意文件，该文件可用于执行远程代码执行。” —— Apache公告

漏洞影响及后果

• 成功利用该漏洞可能允许恶意行为者上传任意有效载荷到易受攻击的实例，进而运行命令、窃取数据或下载额外的有效载荷。

受影响版本及修补情况

• 影响版本
  ：

• Struts 2.0.0 – Struts 2.3.37（生命周期结束）

• Struts 2.5.0 – Struts 2.5.33

• Struts 6.0.0 – Struts 6.3.0.2

• 修补版本
  ：Struts 6.4.0或更高版本

专家分析

• Dr. Johannes Ullrich，SANS技术研究所研究院院长，表示CVE-2023-50164的不完整补丁可能导致了新问题，并已检测到与公开发布的证明概念（PoC）相匹配的利用尝试。

风险缓解措施

• 建议用户尽快升级到最新版本，并重写代码以使用新的Action文件上传机制和相关拦截器。

Apache Struts的重要性

• “Apache Struts位于许多企业IT堆栈的核心，驱动面向公众的门户、内部生产力应用程序和关键业务工作流程。” —— Qualys威胁研究部门产品经理Saeed Abbasi

更新信息

• 攻击面管理公司Censys观察到13,539个暴露的Web应用程序使用Apache Struts框架，其中69%位于美国。