Apache Struts文件上傳漏洞 (CVE-2024-53677) 安全風險通告
責編:gltian |2024-12-13 11:25:47| 漏洞概述 | |||
| 漏洞名稱 | Apache Struts 文件上傳漏洞 | ||
| 漏洞編號 | QVD-2024-50398,CVE-2024-53677 | ||
| 公開時間 | 2024-12-11 | 影響量級 | 十萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 8.1 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 未發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:成功利用可能導致文件上傳獲取服務器權限。 | |||
01?漏洞詳情
影響組件
Apache Struts 2是一個用于開發Java EE網絡應用程序的開放源代碼網頁應用程序架構。它利用并延伸了Java Servlet API,鼓勵開發者采用MVC架構。
漏洞描述
近日,奇安信CERT監測到官方修復Apache Struts 文件上傳漏洞(CVE-2024-53677), Apache Struts 的文件上傳邏輯中存在漏洞,若代碼中使用了FileUploadInterceptor,當進行文件上傳時,攻擊者可能構造惡意請求利用目錄遍歷等上傳文件至其他目錄。如果成功利用,攻擊者可能能夠執行遠程代碼、獲取敏感數據、破壞網站內容或進行其他惡意活動。鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
其他受影響組件
無
03?受影響資產情況
奇安信鷹圖資產測繪平臺數據顯示,Apache Struts 文件上傳漏洞(CVE-2024-53677)關聯的全球風險資產總數為222105個,關聯IP總數為95853個。全球風險資產分布情況如下:
04?處置建議
安全更新
目前官方已發布安全更新,建議用戶盡快升級至6.4.0及以上版本并使用
ActionFileUploadInterceptor 作為文件上傳組件:
https://github.com/apache/struts/releases
修復緩解措施:
1.檢查是否使用了 FileUploadInterceptor 組件,如果并未使用則不受該漏洞影響;
2.實施嚴格的輸入驗證,確保所有上傳的文件都符合預期的格式和大小限制;
3.將上傳的文件存儲在隔離的環境中,并限制對這些文件的執行權限,以減少潛在的損害。
05?參考資料
[1]https://github.com/apache/struts
[2]https://cwiki.apache.org/confluence/display/WW/S2-067
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677