安全公告:CVE-2024-53677 - 严重的Apache Struts远程代码执行漏洞
- 攻击EXP程序详见:github.com/XiaomingX/C…
公告日期: 2024年12月14日
漏洞编号: CVE-2024-53677
风险评分: 9.5 (严重)
漏洞概述
CVE-2024-53677 是一个在 Apache Struts 框架中发现的严重漏洞,可能允许攻击者远程执行任意代码。漏洞的根本原因是文件上传逻辑存在缺陷,攻击者可以利用该缺陷进行路径穿越和恶意文件上传。
该漏洞影响了特定版本的 Apache Struts,开发者和系统管理员应立即采取措施,防止被利用。
受影响的版本
以下版本的 Apache Struts 受到影响:
- 2.0.0 至 2.5.33
- 6.0.0 至 6.3.0.2
已修复版本: 6.4.0 及更新的版本
漏洞详情
CVE-2024-53677 是一个严重的文件上传机制漏洞,攻击者可以利用该漏洞实现以下攻击行为:
- 路径穿越攻击
通过操作文件上传的参数,攻击者可将文件上传到服务器的任意位置,绕过安全机制。 - 远程代码执行(RCE)
攻击者可上传并触发可执行文件(例如 .jsp 脚本或二进制载荷),在服务器上远程执行恶意代码。
根据 Apache Struts 官方公告,此漏洞与旧的文件上传机制不兼容。使用旧文件上传方式的组织需要重写上传逻辑,以采用 6.4.0 版本中提供的安全机制。
风险缓解措施
-
升级到 Apache Struts 6.4.0 或更高版本
- Apache Struts 团队已在 6.4.0 版本中修复了该漏洞。
- 迁移到新的 "Action File Upload" 机制,以确保安全性。请注意,此迁移可能需要对代码进行重构,因为新机制与旧的上传方法不兼容。
-
参考官方公告
- 详细的修复和迁移指南可参考 Apache 官方公告: S2-067 - 官方公告
