8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全事务响应

Apache Struts2文件上传缝隙（CVE-2024-53677）来袭，，，，，，，，8827太阳集团提供解决规划

颁布功夫 2024-12-18

Struts2框架是一个用于开发Java EE网络利用法式的盛开源代码网页利用法式架构。。。。。。它利用并延长了Java Servlet API，，，，，，，，激励开发者选取MVC架构。。。。。。Apache Struts 2存在一个严沉的文件上传导致远程代码执行缝隙S2-067，，，，，，，，未经授权的攻击者能够把持文件上传参数来启用蹊径遍历，，，，，，，，可导致上传可用于执行远程代码的恶意文件。。。。。。

2024年12月，，，，，，，，8827太阳集团监控到Apache官方颁布缝隙风险公告，，，，，，，，在远程服务器代码中使用了FileUploadInterceptor作为文件上传组件时，，，，，，，，Apache Struts在文件上传逻辑上存在缝隙。。。。。。攻击者能够利用该缝隙进行蹊径遍历，，，，，，，，成功利用该缝隙能够使攻击者可能上传恶意文件，，，，，，，，从而导致远程代码执杏祝。。。。。

表1.png

缝隙复现截图

图1.png

影响版本

2.0.0 <= Apache Struts <= 2.3.37 (EOL)

2.5.0 <= Apache Struts <= 2.5.33

6.0.0 <= Apache Struts <= 6.3.0.2

把稳：不使用FileUploadInterceptor模�？？？？？榈睦貌皇芨梅煜队跋臁！！�。。。

建复建议

一、官方建复规划

目前官方已有可更新版本，，，，，，，，建议受影响用户升级至最新版本：

升级到 Struts 6.4.0 或更高版本并迁徙到新的文件上传机造。。。。。。

官方下载地址：

https://struts.apache.org/download.cgi

文件上传机造迁徙链接：

https://struts.apache.org/core-developers/file-upload

二、8827太阳集团规划

1、8827太阳集团检测类产品规划

天阗入侵检测与治理系统（IDS）、天阗超融合检测探针（CSP）、天阗威胁分析一体机（TAR）、天清WEB安全利用网关（WAF）、天清入侵防御系统（IPS），，，，，，，，升级到最新版本即可有效检测或防护该缝隙造成的攻击风险，，，，，，，，事务库下载地址：

事务库下载地址：https://venustech.download.venuscloud.cn/

2、8827太阳集团漏扫产品规划

（1）“8827太阳集团缝隙扫描系统V6.0”产品已支持对该缝隙进行扫描。。。。。。

图2.png

（2）8827太阳集团缝隙扫描系统608X系列版本已支持对该缝隙进行扫描

图3.png

3、8827太阳集团资产与脆弱性治理平台产品规划

8827太阳集团资产与脆弱性治理平台实时采集并更新谍报信息，，，，，，，，对入库资产Apache Struts2文件上传缝隙（CVE-2024-53677）进行治理。。。。。。

图4.png

4、8827太阳集团安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，，，，，，，进行关联战术配置，，，，，，，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，，，，，，，从而发现“Apache Struts2文件上传缝隙”的缝隙利用攻击行为。。。。。。

1）在泰合的平台中，，，，，，，，通过脆弱性发现职能针对“Apache Struts2文件上传缝隙”缝隙扫描工作，，，，，，，，排查治理网络中受此缝隙影响的沉要资产；；；；；

图5.png

2）平台“关联分析”模�？？？？？橹校�，，，，，，增长“L2_Apache Struts2文件上传缝隙”，，，，，，，，通过8827太阳集团检测设备、指标主机系统等设备的告警日志，，，，，，，，发现表部攻击行为：

图6.png

通过度析规定自动将"L2_Apache Struts2文件上传缝隙"缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，，，，，，，作为内部谍报数据使用；；；；；

3）增长“L3_Apache Struts2文件上传缝隙”，，，，，，，，前提日志名称蹬宗或蕴含“L2_Apache Struts2文件上传缝隙”，，，，，，，，攻击了局蹬宗“攻击成功”，，，，，，，，主张地址引用资产缝隙或源地址匹配威胁谍报，，，，，，，，从而提升关联规定的相信度。。。。。。

图7.png

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】