12月11日Apache基金会针对Java应用框架Struts提出警告,指出此框架存在重大层级的漏洞CVE-2024-53677,起因是文件上传逻辑错误,导致攻击者能够用来路径穿越,从而远程执行任意程序代码(RCE),CVSS风险评分为9.5(满分10分),影响2.0.0至2.3.37版、2.5.0至2.5.33版,以及6.0.0至6.3.0.2版Struts,Apache基金会发布6.4.0版修补,他们呼吁套用新版程序,并迁移至新的文件上传机制。时隔不到一周,传出这项漏洞疑似出现尝试利用的迹象。
12月15日安全研究机构SANS提出警告,他们在14日侦测到IP地址169.150.226“.”162尝试扫描这项漏洞的迹象,研究人员也对于漏洞公布更多细节。
SANS指出,一旦攻击者利用这项漏洞,就有机会将文件上传到受到管制的文件夹,若是他们将Web Shell上传到网站的根目录,就有机会远程执行任意程序代码。
对于Apache基金会在安全公告里提及,CVE-2024-53677与一年前公布的CVE-2023-50164相当类似的情况,SANS指出,CVE-2024-53677很有可能是前一次修补不全造成,而且已有公开的概念性验证(PoC)程序代码,他们也发现有人将这些程序代码用于积极利用漏洞的情况。
值得留意的是,SANS提及攻击者不光利用CVE-2024-53677,很有可能还利用另一个与上传有关的弱点。不过,他们并未透露这项弱点的CVE编号。
