【高危漏洞预警】Apache Struts2文件上传限制不当漏洞可导致远程代码执行

admin 2024年12月12日13:00:20评论75 views字数 642阅读2分8秒阅读模式

【高危漏洞预警】Apache Struts2文件上传限制不当漏洞可导致远程代码执行

漏洞描述:

Apache Struts2发布安全公告,披露了一个文件上传限制不当漏洞,该漏洞是由于Apache Struts2 中的文件上传中存在逻辑缺陷,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,上传可用于执行远程代码的恶意文件,漏洞影响启用了FileUploadInterceptor模块的应用,不启用FileUploadInterceptor模块的应用不受该漏洞影响,鉴于漏洞影响较大,建议受影响用户及时采取防护措施。

漏洞修复建议:
正式防护方案:
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:
Apache Struts 2 >= 6.4.0

下载链接:

https://struts.apache.org/download.cgi#struts-ga

安装前,请确保备份所有关键数据。

安装后,必须重写您的业务代码才能开始使用新的操作文件上传机制和相关的拦截器,继续使用旧的文件上传机制会让你容易受到这种攻击。

文件上传机制业务代码链接:

https://struts.apache.org/core-developers/action-file-upload

上述操作完成后,建议您进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067

原文始发于微信公众号(飓风网络安全):【高危漏洞预警】Apache Struts2文件上传限制不当漏洞可导致远程代码执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月12日13:00:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【高危漏洞预警】Apache Struts2文件上传限制不当漏洞可导致远程代码执行http://cn-sec.com/archives/3499265.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息