漏洞描述:
Apache Struts是一个开源的、用于构建企业级Java Web应用的MVC框架,2024年12月,官方披露CVE-2024-53677ApacheStruts FileUploadInterceptor文件上传漏洞,在受影响版本中,若代码中使用了FileUploadInterceptor,则可能在进行文件上传时攻击者可能上传文件至其他目录,在特定场景下可能造成代码执行。
版本影响范围:Struts 2.0.0-Struts 2.3.37
Struts 2.5.0-Struts 2.5.33
Struts 6.0.0-Struts 6.3.0.2
修复建议:
1.升级组件Apache Struts升级至6.4.0及以上版本
2.自行排查代码中是否使用FileUploadInterceptor,若无使用则不受该漏洞影响。
下载地址:
https://github.com/apache/struts/releases
参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-067