Apache Struts文件上傳漏洞 (CVE-2024-53677) 安全風(fēng)險通告
責(zé)編:gltian |2024-12-13 11:25:47| 漏洞概述 | |||
| 漏洞名稱 | Apache Struts 文件上傳漏洞 | ||
| 漏洞編號 | QVD-2024-50398,CVE-2024-53677 | ||
| 公開時間 | 2024-12-11 | 影響量級 | 十萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數(shù) | 8.1 |
| 威脅類型 | 代碼執(zhí)行 | 利用可能性 | 高 |
| POC狀態(tài) | 未公開 | 在野利用狀態(tài) | 未發(fā)現(xiàn) |
| EXP狀態(tài) | 未公開 | 技術(shù)細節(jié)狀態(tài) | 未公開 |
| 危害描述:成功利用可能導(dǎo)致文件上傳獲取服務(wù)器權(quán)限。 | |||
01?漏洞詳情
影響組件
Apache Struts 2是一個用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的開放源代碼網(wǎng)頁應(yīng)用程序架構(gòu)。它利用并延伸了Java Servlet API,鼓勵開發(fā)者采用MVC架構(gòu)。
漏洞描述
近日,奇安信CERT監(jiān)測到官方修復(fù)Apache Struts 文件上傳漏洞(CVE-2024-53677), Apache Struts 的文件上傳邏輯中存在漏洞,若代碼中使用了FileUploadInterceptor,當(dāng)進行文件上傳時,攻擊者可能構(gòu)造惡意請求利用目錄遍歷等上傳文件至其他目錄。如果成功利用,攻擊者可能能夠執(zhí)行遠程代碼、獲取敏感數(shù)據(jù)、破壞網(wǎng)站內(nèi)容或進行其他惡意活動。鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
其他受影響組件
無
03?受影響資產(chǎn)情況
奇安信鷹圖資產(chǎn)測繪平臺數(shù)據(jù)顯示,Apache Struts 文件上傳漏洞(CVE-2024-53677)關(guān)聯(lián)的全球風(fēng)險資產(chǎn)總數(shù)為222105個,關(guān)聯(lián)IP總數(shù)為95853個。全球風(fēng)險資產(chǎn)分布情況如下:
04?處置建議
安全更新
目前官方已發(fā)布安全更新,建議用戶盡快升級至6.4.0及以上版本并使用
ActionFileUploadInterceptor 作為文件上傳組件:
https://github.com/apache/struts/releases
修復(fù)緩解措施:
1.檢查是否使用了 FileUploadInterceptor 組件,如果并未使用則不受該漏洞影響;
2.實施嚴格的輸入驗證,確保所有上傳的文件都符合預(yù)期的格式和大小限制;
3.將上傳的文件存儲在隔離的環(huán)境中,并限制對這些文件的執(zhí)行權(quán)限,以減少潛在的損害。
05?參考資料
[1]https://github.com/apache/struts
[2]https://cwiki.apache.org/confluence/display/WW/S2-067
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-53677