一、漏洞详情

Apache Struts 是一个免费的开源 MVC 框架，用于创建优雅的 现代 Java Web 应用程序。

近日，监测到一则Apache Struts 2组件存在任意文件上传漏洞（CVE-2024-53677）。Apache Struts 2存在一个严重的文件上传导致远程代码执行漏洞S2-067，未经授权的攻击者可以操纵文件上传参数来启用路径遍历，可导致上传可用于执行远程代码的恶意文件。

建议受影响用户做好资产以及预防工作，以免遭受黑客攻击。

二、影响范围

目前受影响的 Apache-Struts2 版本：

2.0.0 ≤ Apache Struts 2 ≤ 2.3.37

2.5.0 ≤ Apache Struts 2 ≤ 2.5.33

6.0.0 ≤ Apache Struts 2 ≤ 6.3.0.2

三、修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Apache Struts 2更新到6.4.0及以上版本。