Apache Struts FileUploadInterceptor远程代码执行漏洞预警（CVE-2024-53677）

2024-12-12

一、概要

近日，华为云关注到Apache Struts官方发布安全公告，披露Apache Struts 在特定版本中存在一处远程代码执行漏洞（CVE-2024-53677）。由于文件上传逻辑存在缺陷，如果在代码中使用了FileUploadInterceptor，攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下攻击者可通过上传恶意文件触发漏洞，成功利用漏洞可造成远程代码执行。

Apache Struts是一个流行的Java Web应用程序框架。华为云提醒使用Apache Struts的用户及时安排自检并做好安全加固。

参考链接：

https://cwiki.apache.org/confluence/display/WW/S2-067

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Struts 2.0.0 - Struts 2.3.37 (EOL)

Struts 2.5.0 - Struts 2.5.33

Struts 6.0.0 - Struts 6.3.0.2

安全版本：

Apache Struts >= 6.4.0

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户参考官方建议升级到安全版本并使用Action File Upload Interceptor：

https://github.com/apache/struts/releases

注：修复漏洞前请将资料备份，并进行充分测试。