GitHub - XiaomingX/CVE-2024-53677-S2-067: A critical vulnerability, CVE-2024-53677, has been identified in the popular Apache Struts framework, potentially allowing attackers to execute arbitrary code remotely. This vulnerability arises from flaws in the file upload logic, which can be exploited to perform path traversal and malicious file uploads.

🚨🚨 CVE-2024-53677-S2-067 🚨🚨

安全公告：CVE-2024-53677 - 严重的Apache Struts远程代码执行漏洞

公告日期： 2024年12月14日
漏洞编号： CVE-2024-53677
风险评分： 9.5 (严重)

漏洞概述

CVE-2024-53677 是一个在 Apache Struts 框架中发现的严重漏洞，可能允许攻击者远程执行任意代码。漏洞的根本原因是文件上传逻辑存在缺陷，攻击者可以利用该缺陷进行路径穿越和恶意文件上传。

该漏洞影响了特定版本的 Apache Struts，开发者和系统管理员应立即采取措施，防止被利用。

受影响的版本

以下版本的 Apache Struts 受到影响：

2.0.0 至 2.5.33
6.0.0 至 6.3.0.2

已修复版本： 6.4.0 及更新的版本

漏洞详情

CVE-2024-53677 是一个严重的文件上传机制漏洞，攻击者可以利用该漏洞实现以下攻击行为：

路径穿越攻击
通过操作文件上传的参数，攻击者可将文件上传到服务器的任意位置，绕过安全机制。
远程代码执行（RCE）
攻击者可上传并触发可执行文件（例如 .jsp 脚本或二进制载荷），在服务器上远程执行恶意代码。

根据 Apache Struts 官方公告，此漏洞与旧的文件上传机制不兼容。使用旧文件上传方式的组织需要重写上传逻辑，以采用 6.4.0 版本中提供的安全机制。

风险缓解措施

升级到 Apache Struts 6.4.0 或更高版本
- Apache Struts 团队已在 6.4.0 版本中修复了该漏洞。
- 迁移到新的 "Action File Upload" 机制，以确保安全性。请注意，此迁移可能需要对代码进行重构，因为新机制与旧的上传方法不兼容。
参考官方公告
- 详细的修复和迁移指南可参考 Apache 官方公告： S2-067 - 官方公告

Name		Name	Last commit message	Last commit date
Latest commit History 2 Commits
.gitignore		.gitignore
Check-CVE-2024-53677.py		Check-CVE-2024-53677.py
LICENSE		LICENSE
README.md		README.md
S2-067.py		S2-067.py
requirements.txt		requirements.txt

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

漏洞概述

受影响的版本

漏洞详情

风险缓解措施

About

Releases

Packages

Languages

License

XiaomingX/CVE-2024-53677-S2-067

Folders and files

Latest commit

History

Repository files navigation

漏洞概述

受影响的版本

漏洞详情

风险缓解措施

About

Resources

License

Stars

Watchers

Forks

Releases

Packages 0

Languages

Packages