专栏名称: 绿盟科技CERT
绿盟科技CERT针对高危漏洞与安全事件进行快速响应,提供可落地的解决方案,协助用户提升应对威胁的能力。
今天看啥  ›  专栏  ›  绿盟科技CERT

【漏洞通告】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)

绿盟科技CERT  · 公众号  · 互联网安全  · 2024-12-12 14:29
    

主要观点总结

通告关于Apache Struts的S2-067(CVE-2024-53677)漏洞的安全公告。该漏洞允许未经身份验证的攻击者通过文件上传功能进行路径遍历,上传恶意文件以实现远程代码执行。该漏洞对受影响版本的Apache Struts用户构成威胁,CVSS评分高达9.5。

关键观点总结

关键观点1: 漏洞概述

绿盟科技CERT监测到Apache Struts存在任意文件上传漏洞S2-067(CVE-2024-53677)。攻击者可利用此漏洞进行恶意操作。

关键观点2: 影响范围

此漏洞影响特定版本的Apache Struts,包括2.0.0至2.3.37、2.5.0至2.5.33以及6.0.0至6.3.0.2版本。未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。从Struts 6.4.0开始,用户需将ActionFileUploadInterceptor作为文件上传组件。

关键观点3: 漏洞检测和防护

用户可以通过人工检测方式查看当前使用的struts2版本,若版本在受影响范围内,则可能存在安全风险。官方已发布新版本修复该漏洞,受影响用户应尽快升级版本。同时,用户还需注意日常网络安全防护,避免其他潜在风险。

关键观点4: 声明

此安全公告仅用于描述可能存在的安全问题,绿盟科技不提供保障和承诺。传播、利用此安全公告所造成的后果和损失由使用者本人承担,绿盟科技和安全公告作者不承担任何责任。未经允许,不得任意修改或传播此安全公告。


文章预览

通告编号:NS-2024-0036 2024-12-12 TA G: Apache Struts、S2-067、CVE-2024-53677 漏洞危害: 攻击者利用此漏洞,可实现任意文件上传。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Apache发布安全公告,修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷,未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历,从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5,请相关用户尽快采取措施进行防护。 Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。 参考链接: https://cwiki.apache.org/confluence/display/WW/S2-067 SEE MORE →     2 影响范围 受影响版本 2.0.0 < = Apache Struts < = 2.3.37 2.5.0 < = Apache Struts < = 2.5.33 6.0.0 < = Apache Struts < = 6.3.0.2 注:未启用FileU ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览