搜尋

情資內容

更新時間:2024/12/20 12:27:21
發佈時間:2024/12/20 12:27:21
TLP: (White)
得對外公開散布,但不得違反著作權法等相關規定

更新說明:

一、漏洞說明[1] Apache Struts近期公告因檔案上傳功能存在邏輯缺陷,遠端攻擊者可透過調整檔案上傳參數以觸發本項漏洞,當成功利用時可進行目錄遍歷(Path Traversal)以取得受影響網站之目錄架構,更進一步可上傳用於執行遠端程式碼攻擊之惡意檔案。 二、已揭露攻擊程式碼說明 1.GitHub已有相關攻擊程式碼利用說明[2]。
▶ 參考資訊
網址 說明
https://cwiki.apache.org/confluence/display/WW/S2-067 1. Apache
https://github.com/TAM-K592/CVE-2024-53677-S2-067 2.GitHub
https://nvd.nist.gov/vuln/detail/CVE-2024-53677 3. NVD
▶ 影響平台
影響平台-系統:
Struts 2.0.0 - Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.33 (EOL)
Struts 6.0.0 - Struts 6.3.0.2

▶ 建議措施
一、 建議更新至Struts 6.4或更新版本,另,官方表示6.4版本(含)之後已棄用原檔案上傳機制FileUploadInterceptor,有使用該功能之舊版系統,除進行升版外,應一併將檔案上傳機制替換為新版的Action File Upload Interceptor。 二、 官方說明未使用FileUploadInterceptor功能之系統不受影響。
▶ 漏洞資訊
名稱:
CVE-2024-53677
描述:
使用版本:CVSS 4.0 分析分數:CVSS-B 9.5 參考來源: NVD
情資編號:
FISAC-200-202412-0002
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞