【漏洞通告】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)

绿盟科技CERT · 公众号 · 互联网安全 · 2024-12-12 14:29

主要观点总结

通告关于Apache Struts的S2-067（CVE-2024-53677）漏洞的安全公告。该漏洞允许未经身份验证的攻击者通过文件上传功能进行路径遍历，上传恶意文件以实现远程代码执行。该漏洞对受影响版本的Apache Struts用户构成威胁，CVSS评分高达9.5。

关键观点总结

关键观点1: 漏洞概述

绿盟科技CERT监测到Apache Struts存在任意文件上传漏洞S2-067（CVE-2024-53677）。攻击者可利用此漏洞进行恶意操作。

关键观点2: 影响范围

此漏洞影响特定版本的Apache Struts，包括2.0.0至2.3.37、2.5.0至2.5.33以及6.0.0至6.3.0.2版本。未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。从Struts 6.4.0开始，用户需将ActionFileUploadInterceptor作为文件上传组件。

关键观点3: 漏洞检测和防护

用户可以通过人工检测方式查看当前使用的struts2版本，若版本在受影响范围内，则可能存在安全风险。官方已发布新版本修复该漏洞，受影响用户应尽快升级版本。同时，用户还需注意日常网络安全防护，避免其他潜在风险。

关键观点4: 声明

此安全公告仅用于描述可能存在的安全问题，绿盟科技不提供保障和承诺。传播、利用此安全公告所造成的后果和损失由使用者本人承担，绿盟科技和安全公告作者不承担任何责任。未经允许，不得任意修改或传播此安全公告。

正文

通告编号:NS-2024-0036

2024-12-12

TA G：	Apache Struts、S2-067、CVE-2024-53677
漏洞危害：	攻击者利用此漏洞，可实现任意文件上传。
版本：	1.0

漏洞概述

近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷，未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历，从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5，请相关用户尽快采取措施进行防护。

Apache Struts是用于创建Java Web应用程序的开源框架，旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案，应用非常广泛。

参考链接：

https://cwiki.apache.org/confluence/display/WW/S2-067

SEE MORE →

2 影响范围

受影响版本