【安全资讯】Apache Struts存在文件上传漏洞（CVE-2024-53677）

近日，安恒信息CERT监测到Apache Struts存在文件上传漏洞（CVE-2024-53677），若用户未正确配置验证和过滤机制，攻击者可以操纵文件上传参数来启用路径遍历，利用未授权的上传功能执行恶意代码。未使用FileUploadInterceptor的情况下将不受该漏洞影响。

影响版本：

Struts 2.0.0 - Struts 2.3.37（EOL）
Struts 2.5.0 - Struts 2.5.33
Struts 6.0.0 - Struts 6.3.0.2

官方修复方案:

官方已发布修复方案，受影响的用户建议更新至安全版本。

下载链接：https://struts.apache.org/download.html

临时缓解方案:

禁用FileUploadInterceptor，或仅允许白名单中的文件类型进行上传。
配置严格的权限验证，确保上传功能仅对授权用户开放。