高危!Apache Struts文件上传漏洞安全风险通告

admin 2024年12月17日13:14:29评论32 views字数 941阅读3分8秒阅读模式
高危!Apache Struts文件上传漏洞安全风险通告

今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Apache官方披露(CVE-2024-53677)Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中,若代码中使用了FileUploadInterceptor ,则可能在进行文件上传时攻击者可能上传文件至其他目录,在特定场景下可能造成代码执行。

目前官方已发布安全更新,亚信安全CERT建议受影响的客户尽快升级至最新版本。

Apache Struts 是一个开源的 Web 应用程序框架,用于开发企业级 Java Web 应用。它遵循 MVC(Model - View - Controller)设计模式,帮助开发者将业务逻辑、数据表示和用户交互分离开来,使得代码结构更加清晰、易于维护和扩展。

漏洞编号、类型、等级

  • CVE-2024-53677

  • 代码执行漏洞

  • 高危

漏洞状态

细节

PoC

EXP

在野利用

复现情况

未公开

未公开

未公开

未发现

未复现

受影响版本

  • 2.0.0 <= Struts <= 2.3.37(EOL)

  • 2.5.0 <= Struts <= 2.5.33

  • 6.0.0 <= Struts <= 6.3.0.2

修复建议

请检查您的 Apache Struts配置文件,查看其中是否使用了 “FileUploadInterceptor” 组件,若发现配置文件中存在该组件的引用,则可能存在一定的安全风险。建议受影响的用户到官网安全更新链接中查询Apache Struts最新版本将其升级。

https://github.com/apache/struts/releases

参考链接

  • https://cwiki.apache.org/confluence/display/WW/S2-067

  • https://nvd.nist.gov/vuln/detail/CVE-2024-53677

  • https://github.com/apache/struts

本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):高危!Apache Struts文件上传漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月17日13:14:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   高危!Apache Struts文件上传漏洞安全风险通告https://cn-sec.com/archives/3501228.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息