严重
Apache Struts 安全漏洞
披露时间:
2024-12-12
更新时间:
2024-12-12
CT 编号
CT-1554823
CVE 编号
CVE-2024-53677
CNVD 编号
CNVD-2024-47916
CNNVD 编号
CNNVD-202412-1393
原理分类
其他
漏洞评分
N/A
漏洞描述
攻击者可以操纵文件上传参数,从而启用路径遍历,在某些情况下,这可能导致上传恶意文件,进而可以用于执行远程代码执行攻击(不使用 FileUploadInterceptor 的应用程序是安全的)。
漏洞危害
可能导致的危害包括但不限于:
- 完全控制服务器:攻击者可以执行系统命令,获取服务器的完全控制权。
- 数据泄露:攻击者可以访问、修改或删除服务器上的敏感数据。
- 网站篡改:攻击者可以修改网站内容,进行钓鱼攻击或其他形式的欺诈。
- 持久性后门:攻击者可以在服务器上安装后门,以便未来随时访问。
- 服务中断:攻击者可以通过破坏服务器正常运行来导致服务中断。
修复方法
升级到 Struts 6.4.0 或更高版本,并迁移到新的文件上传机制,参考:https://struts.apache.org/core-developers/file-upload
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
漏洞披露
2024-12-12
漏洞信息更新
2024-12-12
