Apache Struts 文件上传漏洞 || 安全通告

　　免责声明

　　在网络安全领域，技术文章应谨慎使用，遵守法律法规，严禁非法网络活动。未经授权，不得利用文中信息进行入侵。使用本文信息造成的任何后果，由使用者自行承担，希客安全及作者不负责。提供的工具仅限学习使用，严禁他用。

　　CVE-2024-53677

　　一、漏洞描述

　　攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

　　二、影响版本

　　2.0.0 <= Struts <= 2.3.37(EOL)

　　2.5.0 <= Struts <= 2.5.33

　　6.0.0 <= Struts <= 6.3.0.2

　　三、修复方案

　　目前官方已发布安全更新，建议用户尽快升级至6.4.0及以上版本并使用ActionFileUploadInterceptor作为文件上传组件。

　　四、参考文献

　　https://github.com/apache/struts

　　https://nvd.nist.gov/vuln/detail/CVE-2024-53677

　　https://cwiki.apache.org/confluence/display/WW/S2-067