大工网安告[2024]041

一、 情况分析

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

近日，官方修复Apache Struts文件上传漏洞(CVE-2024-53677)，Apache Struts的文件上传逻辑中存在漏洞，若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用，攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于该漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：代码执行。

技术类型：路径名的限制不恰当。

利用条件：代码中使用了FileUploadInterceptor作为文件上传组件。

危害描述：成功利用可能导致文件上传获取服务器权限。

二、 影响版本

2.0.0 <= Struts <= 2.3.37（EOL）

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2

三、 处置建议

修复解决方案（含漏洞补丁）：

目前官方已发布安全更新，建议用户尽快升级至6.4.0及以上版本并使用ActionFileUploadInterceptor 作为文件上传组件：

https://github.com/apache/struts/releases

修复缓解措施：

1.检查是否使用了FileUploadInterceptor组件，如果并未使用则不受该漏洞影响；

2.实施严格的输入验证，确保所有上传的文件都符合预期的格式和大小限制；

3.将上传的文件存储在隔离的环境中，并限制对这些文件的执行权限，以减少潜在的损害。