漏洞描述
近日,晟晖实验室团队监测到Apache Struts 框架被曝出一个严重的漏洞CVE-2024-53677,该漏洞可能允许攻击者远程执行任意代码。此漏洞源自文件上传逻辑中的缺陷,攻击者可以通过路径遍历和恶意文件上传技术进行利用。
受此漏洞影响的 Apache Struts 版本存在安全风险,开发人员和管理员需要立即采取措施,以降低漏洞被利用的风险。
漏洞影响
-
严重性:此漏洞的CVSS 评分为 9.5,属于严重漏洞,极易被攻击者利用来执行任意代码。
-
攻击路径:恶意用户可以通过 Web 应用程序上传恶意文件,触发远程代码执行。
-
影响范围:以下版本的 Apache Struts 存在该漏洞:
2.0.0 至 2.5.33 6.0.0 至 6.3.0.2
该漏洞已在Apache Struts 6.4.0 及更高版本中修复。
处置建议
1. 升级到 Apache Struts 6.4.0 或更高版本
Apache Struts 团队已经在6.4.0 版本中修复了该漏洞,建议立即升级到此版本或更高版本。升级后,您将自动采用新版本中的安全文件上传机制。
2. 迁移至新文件上传机制
该漏洞修复引入了新的Action File Upload Mechanism,为确保安全,必须迁移至这一机制。注意,这一迁移过程不具备向后兼容性,因此在迁移时可能需要重构现有的业务代码。
原文始发于微信公众号(无尽藏攻防实验室):漏洞预警 Apache Struts 远程代码执行漏洞 (CVE-2024-53677)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论