CVE-2024-53677

安全公告：CVE-2024-53677 – 严重 Apache Struts 远程代码执行漏洞

日期：2024 年 12 月 14 日

CVE 编号：CVE-2024-53677

CVSS 评分：9.5（严重）

概述

流行的 Apache Struts 框架中发现了一个严重漏洞 CVE-2024-53677，可能允许攻击者远程执行任意代码。此漏洞源于文件上传逻辑中的缺陷，可利用该缺陷执行路径遍历和恶意文件上传。

该漏洞影响 Apache Struts 的特定版本，需要开发人员和管理员立即关注，以降低被利用的风险。

存在漏洞的版本

Apache Struts 的以下版本受到影响：2.0.0 至 2.5.33 6.0.0 至 6.3.0.2 此问题已在 Apache Struts 6.4.0 及更高版本中得到解决

描述

CVE-2024-53677 是一个严重漏洞，允许攻击者利用 Apache Struts 文件上传机制中的弱点。通过操纵文件上传参数，攻击者可以实现以下目标：路径遍历：将文件上传到服务器内的任意位置，绕过安全机制。远程代码执行 (RCE)：通过上传和触发可执行文件（例如 .jsp 脚本或二进制有效负载）来执行恶意代码。根据 Apache Struts 公告，此漏洞与旧的文件上传机制不向后兼容。因此，使用已弃用的文件上传方法的组织必须重写其操作以采用版本 6.4.0 中引入的新安全机制。

缓解

升级到 Apache Struts 6.4.0 或更高版本 Apache Struts 团队已解决 6.4.0 版本中的漏洞。迁移到新的 Action File Upload Mechanism 以确保安全。请注意，由于不向后兼容，此迁移需要重构代码。S2-067 https://cwiki.apache.org/confluence/display/WW/S2-067

Poc

https://github.com/TAM-K592/CVE-2024-53677-S2-067

免责声明（Disclaimer）

本文档及随附的概念验证（Proof of Concept, PoC）漏洞程序仅用于安全研究、教育和合法的漏洞测试目的。使用此材料时，用户必须严格遵守以下约定：

1. 法律合规性

• 仅在获得明确授权的系统或网络中进行测试
• 遵守所有applicable的法律法规和道德准则
• 未经明确书面许可，不得将本程序用于任何未授权的系统

2. 使用限制

• 严禁将本程序用于非法入侵、破坏或未经授权的系统访问
• 禁止将其用于任何形式的犯罪活动
• 不得将程序用于损害、攻击或破坏他人系统和数据

3. 风险声明

• 使用本程序的全部风险由用户自行承担
• 作者不对因使用本程序可能导致的任何直接或间接损失负责
• 本程序仅用于安全研究和学习，不保证安全性和完整性

4. 道德准则

• 遵守负责任的安全研究原则
• 及时向相关方披露发现的安全漏洞
• 尊重他人隐私和知识产权

5. 知识产权

• 本程序的知识产权归原作者所有
• 未经授权，不得进行商业使用或转售

通过使用本 PoC 漏洞程序，您确认已阅读、理解并同意遵守上述所有条款。违反这些条款将导致法律后果和使用权的立即终止。