教育数字化知识图谱

一、漏洞详情

Apache Struts 2 是一个基于 MVC 设计模式的 Web 应用框架，可用于创建企业级 Java web 应用程序。

近日，监测到官方修复 Apache Struts 文件上传漏洞 (CVE-2024-53677) ， Apache Struts 的文件上传逻辑中存在漏洞，若代码中使用了 FileUploadInterceptor ，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用，攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻

二、影响范围

2.0.0 <= Struts <= 2.3.37 （ EOL ）

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2

三、修复建议

目前官方已发布安全更新，建议用户尽快升级至 6.4.0 及以上版本并使用 ActionFileUploadInterceptor 作为文件上传组件。