一、漏洞详情
Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。
近日,监测到官方修复Apache Struts 文件上传漏洞(CVE-2024-53677),Apache Struts的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
2.0.0 <= Struts <= 2.3.37(EOL)
2.5.0 <= Struts <= 2.5.33
6.0.0 <= Struts <= 6.3.0.2
三、修复建议
目前官方已发布安全更新,建议用户尽快升级至6.4.0及以上版本并使用ActionFileUploadInterceptor 作为文件上传组件。