Apache Struts 框架被发现一个严重安全漏洞（CVE-2024-53677），攻击者可利用该漏洞远程执行恶意代码。该漏洞存在于版本 2.0.0 至 2.5.33 和 6.0.0 至 6.3.0.2 的文件上传逻辑中，攻击者可通过操纵文件上传参数实现路径遍历，上传并执行恶意文件。Apache 团队已在 6.4.0 版本中修复此漏洞，但修复需要开发人员迁移到新的文件上传机制，这可能导致补丁延迟。建议使用 Apache Struts 的组织立即采取行动，升级到最新版本并分配资源确保迁移。

⚠️Apache Struts 框架中发现了一个严重的远程代码执行漏洞 (CVE-2024-53677)，CVSS 评分为 9.5，影响版本 2.0.0 至 2.5.33 和 6.0.0 至 6.3.0.2。

📂该漏洞存在于文件上传逻辑中，攻击者可以通过操纵文件上传参数来实现路径遍历，从而可能导致上传和执行恶意文件。

💥成功利用此漏洞可能导致严重后果，包括数据泄露、系统受损，甚至完全接管受影响的服务器。

🛠️Apache 团队已在 Struts 6.4.0 及更高版本中解决了此漏洞，但修复需要开发人员迁移到新的文件上传机制，这需要重写操作以使用新的动作文件上传机制和拦截器，继续使用旧机制将使系统容易受到攻击。

⏱️强制性的代码修改可能会给开发人员带来挑战，延迟打补丁进程，因此必须优先考虑此更新并分配必要的资源，以确保迅速、完整地迁移到安全版本。

在发现一个可能允许攻击者远程执行恶意代码的重大安全漏洞（CVE-2024-53677，CVSS 9.5）后，敦促使用流行的 Apache Struts 框架的开发人员立即更新其系统。该漏洞与臭名昭著的 S2-066 漏洞类似，存在于 Apache Struts 2.0.0 至 2.5.33 版和 6.0.0 至 6.3.0.2 版的文件上传逻辑中。通过操纵文件上传参数，攻击者可以利用路径遍历漏洞，可能导致恶意文件的上传和执行。官方安全公告警告说：“攻击者可以操纵文件上传参数来实现路径遍历，在某些情况下，这可能导致恶意文件的上传，而恶意文件可用于执行远程代码执行。”成功利用该漏洞可能会造成严重影响，从数据泄露和系统受损到完全接管受影响的服务器不等。强烈建议在其网络应用程序中使用 Apache Struts 的组织立即采取行动，降低这一风险。幸运的是，Apache Struts 团队已在 6.4.0 及更高版本中解决了这一漏洞。不过，该漏洞的修复需要开发人员迁移到一个新的文件上传机制，这意味着升级到最新版本并不是一个简单的即插即用的解决方案。该公告解释说：“这一变更并不向后兼容，因为你必须重写你的操作，以便开始使用新的动作文件上传机制和相关拦截器。继续使用旧的文件上传机制会使你容易受到这种攻击。”这种强制性的代码修改可能会给一些开发人员带来挑战，可能会延迟打补丁的进程，使系统暴露在攻击之下。因此，必须优先考虑这一更新并分配必要的资源，以确保迅速、完整地迁移到安全版本的 Apache Struts。通过及时处理此漏洞，企业可以大大降低遭受利用 CVE-2024-53677 的攻击的风险。