01 漏洞详情

影响组件

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

漏洞描述

近日，奇安信CERT监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677)， Apache Struts 的文件上传逻辑中存在漏洞，若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用，攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

2.0.0 <= Struts <= 2.3.37（EOL）

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2

其他受影响组件

无

03 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Apache Struts 文件上传漏洞(CVE-2024-53677)关联的全球风险资产总数为222105个，关联IP总数为95853个。全球风险资产分布情况如下：

04 处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至6.4.0及以上版本并使用

ActionFileUploadInterceptor 作为文件上传组件：

https://github.com/apache/struts/releases

修复缓解措施：

1.检查是否使用了 FileUploadInterceptor 组件，如果并未使用则不受该漏洞影响；

2.实施严格的输入验证，确保所有上传的文件都符合预期的格式和大小限制；

3.将上传的文件存储在隔离的环境中，并限制对这些文件的执行权限，以减少潜在的损害。

05 参考资料

[1]https://github.com/apache/struts

[2]https://cwiki.apache.org/confluence/display/WW/S2-067

[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677

声明：本文来自奇安信 CERT，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。