【高危漏洞预警】Apache Struts2文件上传限制不当漏洞可导致远程代码执行

科技   2024-12-12 10:51   北京  

漏洞描述:

Apache Struts2发布安全公告,披露了一个文件上传限制不当漏洞,该漏洞是由于Apache Struts2 中的文件上传中存在逻辑缺陷,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,上传可用于执行远程代码的恶意文件,漏洞影响启用了FileUploadInterceptor模块的应用,不启用FileUploadInterceptor模块的应用不受该漏洞影响,鉴于漏洞影响较大,建议受影响用户及时采取防护措施。

漏洞修复建议:
正式防护方案:
针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:
Apache Struts 2 >= 6.4.0

下载链接:

https://struts.apache.org/download.cgi#struts-ga

安装前,请确保备份所有关键数据。

安装后,必须重写您的业务代码才能开始使用新的操作文件上传机制和相关的拦截器,继续使用旧的文件上传机制会让你容易受到这种攻击。

文件上传机制业务代码链接:

https://struts.apache.org/core-developers/action-file-upload

上述操作完成后,建议您进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章