0x01 组件介绍

       Apache Struts 是一个开源的、用于构建企业级Java Web应用的MVC框架。

0x02 漏洞描述
   2024年12月，官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中，若代码中使用了FileUploadInterceptor ，则可能在进行文件上传时攻击者可能上传文件至其他目录，在特定场景下可能造成代码执行。

0x03 影响版本

0x04 漏洞影响

     若代码中使用了FileUploadInterceptor，当进行文件上传时，攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。但目前并未揭露详细的细节，建议尽快做好自查及防护。

0x05 修复建议

1、升级组件 Apache Struts 升级至 6.4.0 及以上版本。

2、自行排查代码中是否使用 FileUploadInterceptor，若无使用则不受该漏洞影响

0X06 参考链接

https://cwiki.apache.org/confluence/display/WW/S2-067

0x07 免责声明

> 本文所涉及的任何技术、信息或工具，仅供学习和参考之用。
> 请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。
> 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。