發布日期: 2024年 12月 17日
最後更新: 2024年 12月 18日
Apache Software Foundation 發布了一個安全性公告以應對 Apache Struts 的一個漏洞。遠端攻擊者可以通過傳送特製的請求至受影響系統,從而發動攻擊。
有報告指針對 Apache Struts 的遠端執行程式碼漏洞 (CVE-2024-53677) 的概念驗證 (PoC) 程式碼已被公開,其漏洞亦正受到攻擊。系統管理員應立即為受影響的系統安裝修補程式,以減低受到網絡攻擊的風險。
Apache Struts 的一些版本已結束,在這之後也不會再提供安全更新。系統管理員應將 Apache Struts 升級至受支援的版本,或轉至其他受支援的技術。
有關受影響系統的詳細資料,請參閱供應商網站的相應安全公告。
成功利用漏洞可以在受影響的系統導致遠端執行程式碼。
受影響系統的系統管理員應將 Apache Struts 升級至 6.4.0 或以上版本,並用 Action File Upload Interceptor 取代已被棄用的 File Upload Interceptor 以應對以上問題。最新版本可從以下網址下載:
https://struts.apache.org/download.cgi