Apache Struts 2 是一个基于 Java 的开源 Web 应用框架,广泛用于企业级 Java Web 应用的开发。它采用 MVC(模型-视图-控制器)架构,旨在简化 Web 应用程序的开发和维护。Struts 2 提供强大的表单处理、内置的标签库、国际化支持以及灵活的插件扩展机制,允许开发者快速构建动态和可扩展的应用程序。其核心功能包括易于配置的 Action 管理、高效的请求处理以及与现代前端技术的良好集成,使其成为构建复杂 Web 应用的理想选择。若Apache Struts代码中使用了FileUploadInterceptor,文件上传逻辑中存在漏洞,攻击者可以操纵文件上传参数以启用路径遍历,上传恶意文件。
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
目前厂商已发布可更新版本,建议用户尽快更新至 Apache Struts 的修复版本或更高的版本:
1.https://github.com/apache/struts
2.https://cwiki.apache.org/confluence/display/WW/S2-067
原文始发于微信公众号(安全聚):【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论