【处置手册】Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)

主要观点总结

关于Apache Struts的S2-067（CVE-2024-53677）漏洞的安全通告。该漏洞允许攻击者通过文件上传功能进行路径遍历，上传恶意文件以实现远程代码执行。CVSS评分9.5，影响多个版本的Apache Struts。

关键观点总结

关键观点1: 漏洞概述

Apache Struts存在任意文件上传漏洞S2-067（CVE-2024-53677），攻击者可利用此漏洞上传恶意文件实现远程代码执行。

关键观点2: 影响范围

受影响版本包括Apache Struts 2.0.0 至 2.3.37、2.5.0 至 2.5.33、6.0.0 至 6.3.0.2。未启用FileUploadInterceptor组件的应用程序不受此漏洞影响。

关键观点3: 漏洞检测

可通过人工检测和产品检测两种方式检查是否受到该漏洞影响。人工检测可查看项目的pom.xml或lib中的核心包来确定struts版本；产品检测可使用绿盟科技的安全产品进行检测，用户需升级至最新版本以获取检测能力。

关键观点4: 漏洞防护

官方已发布新版本修复该漏洞，受影响用户应尽快升级。同时，绿盟科技Web应用防护系统（WAF）与网络入侵防护系统(IPS)已发布规则升级包，相关用户应升级规则包至最新版。另外，还提供了一些针对该漏洞的加固建议。

文章预览

通告编号:NS-2024-0036-1 2024-12-17 TA G： Apache Struts、S2-067、CVE-2024-53677 漏洞危害： 攻击者利用此漏洞，可实现任意文件上传。 版本： 1.1 1 漏洞概述 近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Struts任意文件上传漏洞S2-067(CVE-2024-53677)。由于文件上传功能存在逻辑缺陷，未经身份验证的攻击者可以通过控制文件上传参数进行路径遍历，从而通过上传恶意文件来实现远程代码执行。CVSS评分9.5，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。 Apache Struts是用于创建Java Web应用程序的开源框架，旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案，应用非常广泛。 绿盟科技已成功复现此漏洞： 参考链接： https://cwiki.apache.org/confluence/display/WW/S2-067 SEE MORE → 2 影响范围 受影响版本 2.0.0  < = Apache Struts  < = 2.3.37 2.5.0  < = Apache ………………………………