【漏洞通告】Apache Struts 2远程代码执行漏洞（CVE-2024-53677）

文章预览

一、漏洞 概述 漏洞名称    Apache Struts 2远程代码执行漏洞 CVE   ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache Struts 2是一个基于MVC设计模式的Web应用框架，可用于创建企业级Java web应用程序。 2024年12月12日，启明星辰集团VSRC监测到Apache Struts 2中存在一个远程代码执行漏洞（CVE-2024-53677），该漏洞的CVSS评分为9.5。 Apache Struts 2多个受影响版本中文件上传逻辑存在缺陷，由于在文件上传过程中对用户提供的参数缺乏严格校验，攻击者可以通过操纵文件上传参数执行路径遍历攻击，某些情况下可能导致将恶意文件上传到服务器上的其他位置，从而导致远程代码执行。 二、影响范围 Apache Struts 2.0.0 - 2.3.37 (EOL) Apache Struts 2.5.0 ………………………………