专栏名称: 绿盟科技CERT

绿盟科技CERT针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案，协助用户提升应对威胁的能力。

【处置手册】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)

绿盟科技CERT · 公众号 · 互联网安全 · 2024-12-17 18:23

主要观点总结

关于Apache Struts的S2-067（CVE-2024-53677）漏洞的安全通告。该漏洞允许攻击者通过文件上传功能进行路径遍历，上传恶意文件以实现远程代码执行。CVSS评分9.5，影响多个版本的Apache Struts。

关键观点总结

关键观点1: 漏洞概述

Apache Struts存在任意文件上传漏洞S2-067（CVE-2024-53677），攻击者可利用此漏洞上传恶意文件实现远程代码执行。

关键观点2: 影响范围

受影响版本包括Apache Struts 2.0.0 至 2.3.37、2.5.0 至 2.5.33、6.0.0 至 6.3.0.2。未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。

关键观点3: 漏洞检测

可通过人工检测和产品检测两种方式检查是否受到该漏洞影响。人工检测可查看项目的pom.xml或lib中的核心包来确定struts版本；产品检测可使用绿盟科技的安全产品进行检测，用户需升级至最新版本以获取检测能力。

关键观点4: 漏洞防护

官方已发布新版本修复该漏洞，受影响用户应尽快升级。同时，绿盟科技Web应用防护系统（WAF）与网络入侵防护系统(IPS)已发布规则升级包，相关用户应升级规则包至最新版。另外，还提供了一些针对该漏洞的加固建议。

正文

通告编号:NS-2024-0036-1

2024-12-17

TAG：	Apache Struts、S2-067、CVE-2024-53677
漏洞危害：	攻击者利用此漏洞，可实现任意文件上传。
版本：	1.1

漏洞概述

近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷，未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历，从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。

Apache Struts是用于创建Java Web应用程序的开源框架，旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案，应用非常广泛。

绿盟科技已成功复现此漏洞：

参考链接：

https://cwiki.apache.org/confluence/display/WW/S2-067

SEE MORE →

2影响范围

受影响版本

2.0.0 <= Apache Struts <= 2.3.37
2.5.0 <= Apache Struts <= 2.5.33
6.0.0 <= Apache Struts <= 6.3.0.2
注：未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。

不受影响版本

Apache Struts >= 6.4.0

3漏洞检测

3.1 人工检测

使用maven打包的项目可通过pom.xml查看当前使用的struts版本：

也可通过查看lib中的核心包查看struts版本

若当前版本在受影响范围内，则可能存在安全风险。

3.2 产品检测

绿盟科技远程安全评估系统（RSAS）、WEB应用漏洞扫描系统(WVSS)、综合威胁探针（UTS）与网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力，请有部署以上设备的用户升级至最新版本。

	升级包版本号	升级包下载链接
RSAS V6系统插件升级包	V6.0R02F01.3807	https://update.nsfocus.com/update/listRsasDetail/v/vulsys
RSAS V6 Web插件包	V6.0R02F00.3605	https://update.nsfocus.com/update/listRsasDetail/v/vulweb
WVSS V6插件升级包	V6.0R03F00.342	https://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
UTS	2.0.0.37846	https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1
	5.6.10.37846	https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
	6.0.7.3.69540	https://update.nsfocus.com/update/listBsaUtsDetail/v/wcl2.0.0
IDS	5.6.10.37846	https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10
	5.6.11.37846	https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11
	2.0.0.37846	https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11_v2

绿盟智能安全运营平台（ISOP）通用规则支持此漏洞的监测告警。

关于RSAS的升级配置指导，请参考如下链接：

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

4漏洞防护

4.1 官方升级

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：https://struts.apache.org/download.cgi

注：从Struts 6.4.0开始用户需将ActionFileUploadInterceptor作为文件上传组件。

4.2 产品防护

针对上述漏洞，绿盟科技Web应用防护系统（WAF）与网络入侵防护系统(IPS)已发布规则升级包，请相关用户升级规则包至最新版，以形成安全产品防护能力。安全防护产品规则编号如下：

安全防护产品	升级包版本号	升级包下载链接	规则编号
WAF	6.0.7.0.69540	https://update.nsfocus.com/update/listWafSpecialDetail/v/all	27005772
	6.0.7.3.69540	https://update.nsfocus.com/update/listWafV67Detail/v/rule6070
	6.0.8.0.69540	https://update.nsfocus.com/update/listWafV68Detail/v/rule
IPS	5.6.10.37846	https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10	[28420]
	5.6.11.37846	https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
	2.0.0.37846	https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2

产品规则升级的操作步骤详见如下链接：

WAF：https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog

IPS：https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

4.3 加固建议

针对此文件上传漏洞，可以通过下列措施对服务器进行安全加固：

1.针对系统文件上传模块进行严格的身份认证和权限控制，避免匿名用户和未授权的访问。

2. 将文件上传目录和其他可写目录权限设置为不可执行，禁止web容器解析这些目录下的文件。

3.在保存用户上传的文件时不直接使用原文件名，用随机生成的文件名替代以避免被攻击者操纵。

4. 使用对象存储或网络存储的方式，保存用户上传的文件。

5. 加强web应用的监控和日志记录，重点监测路径穿越和文件上传相关的流量。

END

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技CERT ∣微信公众号

长按识别二维码，关注网络安全威胁信息