漏洞详情
-
追踪编号:CVE-2024-53677 -
CVSS评分:9.5/10.0,显示为严重 -
与先前漏洞相似:与2023年12月解决的CVE-2023-50164(CVSS评分:9.8)相似,后者在公开披露后不久也受到积极利用。
网络安全警告
“
“攻击者可以操纵文件上传参数以启用路径遍历,在某些情况下,这可能导致上传恶意文件,该文件可用于执行远程代码执行。” —— Apache公告
漏洞影响及后果
-
成功利用该漏洞可能允许恶意行为者上传任意有效载荷到易受攻击的实例,进而运行命令、窃取数据或下载额外的有效载荷。
受影响版本及修补情况
-
影响版本: -
Struts 2.0.0 - Struts 2.3.37(生命周期结束) -
Struts 2.5.0 - Struts 2.5.33 -
Struts 6.0.0 - Struts 6.3.0.2 -
修补版本:Struts 6.4.0或更高版本
专家分析
-
Dr. Johannes Ullrich,SANS技术研究所研究院院长,表示CVE-2023-50164的不完整补丁可能导致了新问题,并已检测到与公开发布的证明概念(PoC)相匹配的利用尝试。
风险缓解措施
-
建议用户尽快升级到最新版本,并重写代码以使用新的Action文件上传机制和相关拦截器。
Apache Struts的重要性
-
“Apache Struts位于许多企业IT堆栈的核心,驱动面向公众的门户、内部生产力应用程序和关键业务工作流程。” —— Qualys威胁研究部门产品经理Saeed Abbasi
更新信息
-
攻击面管理公司Censys观察到13,539个暴露的Web应用程序使用Apache Struts框架,其中69%位于美国。
原文始发于微信公众号(独角鲸网络安全实验室):补丁警报:发现关键的Apache Struts漏洞(CVE-2024-53677)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论