【已复现】Apache Struts文件上传漏洞(CVE-2024-53677)

科技   2024-12-17 23:21   北京  

漏洞描述:

Apache Struts是一个开源的、用于构建企业级Java Web应用的MVC框架,2024年12月,官方披露CVE-2024-53677ApacheStruts FileUploadInterceptor文件上传漏洞,在受影响版本中,若代码中使用了FileUploadInterceptor,则可能在进行文件上传时攻击者可能上传文件至其他目录,在特定场景下可能造成代码执行。

版本影响范围:
Struts 2.0.0-Struts 2.3.37
Struts 2.5.0-Struts 2.5.33
Struts 6.0.0-Struts 6.3.0.2

修复建议:

1.升级组件Apache Struts升级至6.4.0及以上版本

2.自行排查代码中是否使用FileUploadInterceptor,若无使用则不受该漏洞影响。


下载地址:
https://github.com/apache/struts/releases

参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067    

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章