在发现一个可能允许攻击者远程执行恶意代码的重大安全漏洞(CVE-2024-53677,CVSS 9.5)后,敦促使用流行的 Apache Struts 框架的开发人员立即更新其系统。
该漏洞与臭名昭著的 S2-066 漏洞类似,存在于 Apache Struts 2.0.0 至 2.5.33 版和 6.0.0 至 6.3.0.2 版的文件上传逻辑中。通过操纵文件上传参数,攻击者可以利用路径遍历漏洞,可能导致恶意文件的上传和执行。
官方安全公告警告说:“攻击者可以操纵文件上传参数来实现路径遍历,在某些情况下,这可能导致恶意文件的上传,而恶意文件可用于执行远程代码执行。”
成功利用该漏洞可能会造成严重影响,从数据泄露和系统受损到完全接管受影响的服务器不等。强烈建议在其网络应用程序中使用 Apache Struts 的组织立即采取行动,降低这一风险。
幸运的是,Apache Struts 团队已在 6.4.0 及更高版本中解决了这一漏洞。不过,该漏洞的修复需要开发人员迁移到一个新的文件上传机制,这意味着升级到最新版本并不是一个简单的即插即用的解决方案。
该公告解释说:“这一变更并不向后兼容,因为你必须重写你的操作,以便开始使用新的动作文件上传机制和相关拦截器。继续使用旧的文件上传机制会使你容易受到这种攻击。”
这种强制性的代码修改可能会给一些开发人员带来挑战,可能会延迟打补丁的进程,使系统暴露在攻击之下。因此,必须优先考虑这一更新并分配必要的资源,以确保迅速、完整地迁移到安全版本的 Apache Struts。
通过及时处理此漏洞,企业可以大大降低遭受利用 CVE-2024-53677 的攻击的风险。
文章原文链接:https://www.anquanke.com/post/id/302666