发布日期: 2024年 12月 17日
最後更新: 2024年 12月 18日
Apache Software Foundation 发布了一个安全性公告以应对 Apache Struts 的一个漏洞。远端攻击者可以通过传送特制的请求至受影响系统,从而发动攻击。
有报告指针对 Apache Struts 的远端执行程式码漏洞 (CVE-2024-53677) 的概念验证 (PoC) 程式码已被公开,其漏洞亦正受到攻击。系统管理员应立即为受影响的系统安装修补程式,以减低受到网络攻击的风险。
Apache Struts 的一些版本已结束,在这之后也不会再提供安全更新。系统管理员应将 Apache Struts 升级至受支援的版本,或转至其他受支援的技术。
有关受影响系统的详细资料,请参阅供应商网站的相应安全公告。
成功利用漏洞可以在受影响的系统导致远端执行程式码。
受影响系统的系统管理员应将 Apache Struts 升级至 6.4.0 或以上版本,并用 Action File Upload Interceptor 取代已被弃用的 File Upload Interceptor 以应对以上问题。最新版本可从以下网址下载:
https://struts.apache.org/download.cgi