[TLP:CLEAR] Apache Struts 2 opravuje kritickou zranitelnost
Apache Struts od verze 6.4.0 obsahuje opravu pro kritickou zranitelnost, která však vyžaduje nejen aktualizaci frameworku, ale také úpravu v kódu aplikace [1][2]. Využívá-li starší mechanismus nahrávání souborů File Upload, je kvůli zpětné nekompatibilitě nutná migrace na novější mechanismus Action File Upload [3]. Bez této úpravy zůstává aplikace zranitelná i po aktualizaci frameworku [1][2].
Neautentizovanému vzdálenému útočníkovi je za určitých okolností kvůli chybě v logice nahrávání souborů umožněno nahrát soubor do libovolných lokací na stroji, což může vést ke spuštění kódu [1][4]. Ke zranitelnosti existují PoC, přičemž některé jsou podle dostupných informací již aktivně zneužívány útočníky [2][5][6].
Zranitelnost se nachází v produktu Apache Struts ve verzích ve verzích (>=2.0.0 AND <=2.3.37) OR (>=2.5.0 AND <=2.5.33) OR (>=6.0.0 AND <=6.3.0.2)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-53677 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-434: Unrestricted Upload of File with Dangerous Type at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 12. 2024.
Odkazy
- [1] https://cwiki.apache.org/confluence/display/WW/S2-067
- [2] https://isc.sans.edu/diary/31520
- [3] https://struts.apache.org/core-developers/action-file-upload
- [4] https://nvd.nist.gov/vuln/detail/CVE-2024-53677
- [5] https://github.com/TAM-K592/CVE-2024-53677-S2-067
- [6] https://github.com/EQSTLab/CVE-2024-53677
Publikovala Michaela Ručková dne 3. 1. 2025.
