针对关键 Apache Struts 漏洞 CVE-2024-53677 的概念验证 (PoC) 漏洞已公开发布,引起了整个网络安全社区的警惕。
此漏洞在 CVSS 量表上得分为 9.5,允许攻击者通过利用框架文件上传机制中的缺陷来远程执行任意代码。
该漏洞影响 Apache Struts 版本 2.0.0 到 2.5.33 以及 6.0.0 到 6.3.0.2,版本 6.4.0 及更高版本中提供了修复程序。
该漏洞源于 Apache Struts(一种广泛使用的基于 Java 的 Web 应用程序框架)已弃用的“FileUploadInterceptor”组件中的路径遍历缺陷。
通过操纵文件上传参数,攻击者可以绕过安全限制,将恶意文件上传到未经授权的目录中。这可能导致:
- 路径遍历:将文件上传到服务器内的任意位置。
- 远程代码执行 (RCE):执行恶意代码,例如 Web Shell 或二进制负载,以获得对受感染系统的完全控制权。
该漏洞被归类为 CWE-434:不受限制地上传具有危险类型的文件,这种漏洞类型在历史上曾导致重大违规行为。
PoC 已发布 – CVE-2024-53677
PoC 漏洞利用代码的发布大大提高了大规模利用的风险。
安全研究人员已经观察到针对易受攻击的系统进行主动攻击的早期迹象,利用自动化工具来扫描和利用易受攻击的 Apache Struts 实例。
鉴于 Struts 在企业环境中的广泛采用,此漏洞对依赖旧版本框架的组织构成了严重威胁。
Apache Software Foundation 强烈建议所有用户立即升级到版本 6.4.0 或更高版本。
此更新引入了一种新的“操作文件上传”机制,该机制替换了易受攻击的组件,但由于其不向后兼容性,因此需要重构代码。
对于无法及时升级的组织,替代措施包括:
- 禁用文件上传功能(非必要的)。
- 应用 Web 应用程序防火墙 (WAF) 规则来阻止恶意文件上传。
- 为旧版本使用第三方补丁,例如 HeroDevs 提供的补丁。
组织必须优先修补其系统或实施补偿性控制措施,以缓解这一关键漏洞。
PoC 漏洞利用代码的发布凸显了解决 CVE-2024-53677 的紧迫性,以免它成为类似于以前备受瞩目的违规行为的广泛攻击的载体。
来源:cybersecuritynews
原文始发于微信公众号(网安百色):Apache Struts远程代码执行漏洞PoC漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论