Apache Struts 2 是一個(gè)基于 MVC 設(shè)計(jì)模式的 Web 應(yīng)用框架，可用于創(chuàng)建企業(yè)級(jí) Java web 應(yīng)用程序。近日，監(jiān)測(cè)到官方修復(fù) Apache Struts 文件上傳漏洞(CVE-

2024-53677)，Apache Struts 的文件上傳邏輯中存在漏洞，若代碼中使用了 FileUploadInterceptor 組件，當(dāng)進(jìn)行文件上傳時(shí)，攻擊者可能構(gòu)造惡意請(qǐng)求利用目錄遍歷等上傳文件至其他目錄。如果成功利用，攻擊者可能能夠執(zhí)行遠(yuǎn)程代碼、獲取敏感數(shù)據(jù)、破壞網(wǎng)站內(nèi)容或進(jìn)行其他惡意活動(dòng)。此漏洞影響范圍較大，建議受影響用戶(hù)盡快做好自查及防護(hù)。

漏洞編號(hào) 

QVD-2024-50398,CVE-2024-53677 

影響范圍 

2.0.0 <= Struts <= 2.3.37（EOL）

2.5.0 <= Struts <= 2.5.33

6.0.0 <= Struts <= 6.3.0.2