漏洞分析 | Apache Struts文件上传漏洞(CVE-2024-53677)

漏洞概述

Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。

近期,网宿安全演武实验室监测到Apache Struts在特定条件下,存在文件上传漏洞(网宿评分:高危;CVSS 3.0 评分:8.1):

攻击者可以操纵文件上传参数来实现路径遍历,在某些情况下,这可能导致恶意文件上传。目前该漏洞POC状态已在互联网公开,建议客户尽快做好自查及防护。

受影响版本

Struts 2.0.0 - 2.3.37(EOL)

Struts 2.5.0 - 2.5.33(EOL)

Struts 6.0.0 - 6.3.0.2

前置知识

在 Struts 2 中,有一个重要特性------值栈,它帮助我们能够轻松访问 Action 类中的属性。

而其工作原理可以简单理解为,当我们访问一个Action时,Struts 2就会创建该 Action 类的实例并将它推送到值栈的顶部。参照官方wiki(https://cwiki.apache.org/confluence/display/WW/OGNL+Basics)可知,使用top关键字即可访问栈顶对象。

示例代码如下:

MyAction.java

复制代码
package com.struts2;
import com.opensymphony.xwork2.ActionSupport;
public class MyAction extends ActionSupport {
    private String message;
    @Override
    public String execute() throws Exception {
        message = "Hello";
        return SUCCESS;
    }
    public String getMessage() {
        return message;
    }
}

test.jsp

复制代码
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="s" uri="/struts-tags" %>
<html>
<body>
<h3>值栈访问示例:</h3>
<div>
  <p>当前栈顶为(使用[0].top): <s:property value="[0].top" /></p>
  <p>当前栈顶为(使用top): <s:property value="top" /></p>
  <p>从栈顶查找MyAction属性(使用 [0].top): <s:property value="[0].top.message" /></p>
  <p>从栈顶查找MyAction属性(使用 top): <s:property value="top.message" /></p>
</div>
</body>
</html>

struts.xml

复制代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC
        "-//Apache Software Foundation//DTD Struts Configuration 2.5//EN"
        "http://struts.apache.org/dtds/struts-2.5.dtd">
<struts>
    <package name="default" extends="struts-default">
        <action name="MyAction" class="com.struts2.MyAction">
            <result name="success">/test.jsp</result>
        </action>
    </package>
</struts>

结果如下:

漏洞分析

根据官方披露的信息(https://cwiki.apache.org/confluence/display/WW/S2-067)可知:

后续处理上传的拦截器将变更为org.apache.struts2.interceptor.ActionFileUploadInterceptor

其与org.apache.struts2.interceptor.FileUploadInterceptor的差别在于,直接将接收的文件通过 action.withUploadedFiles(acceptedFiles) 传递给 Action

而不是将文件绑定到 Action 的属性中。

那么可以猜测漏洞利用是通过参数绑定实现的,不过CVE-2023-50164以后,无法再借助大小写对set的参数进行覆盖。这时可以结合上文所了解的值栈知识突破,即访问值栈栈顶对象本身并修改其属性。

但后续调试时发现卡在了这一步:

复制代码
protected boolean isAccepted(String paramName) {
    AcceptedPatternsChecker.IsAccepted result = acceptedPatterns.isAccepted(paramName);
    if (result.isAccepted()) {
        return true;
    } else if (devMode) { // warn only when in devMode
        LOG.warn("Parameter [{}] didn't match accepted pattern [{}]! See Accepted / Excluded patterns at\n" +
                        "https://struts.apache.org/security/#accepted--excluded-patterns",
                paramName, result.getAcceptedPattern());
    } else {
        LOG.debug("Parameter [{}] didn't match accepted pattern [{}]!", paramName, result.getAcceptedPattern());
    }
    return false;
}

这里可以采用另一种方式:

成功修改文件名。

漏洞复现

这里设置上传路径为/test/a

复制代码
filePath = ServletActionContext.getServletContext().getRealPath("/") + "test/a/";

正常上传:

非正常上传:

修复方案

目前厂商已发布升级补丁以修复漏洞:https://struts.apache.org/core-developers/file-upload

产品支持

网宿WAAP全站防护-云WAF已支持对该漏洞利用攻击的防护,并持续挖掘分析其他变种攻击方式和各类组件漏洞,第一时间上线防护规则,缩短防护"空窗期"。

除此之外,建议通过Bot管理产品来增强对新漏洞的防护,在大多数情况下,企业遇到的0day不是针对性的定向攻击,而是广泛的自动化扫描,攻击者发现一个0day/新漏洞之后,通常会先使用自动化工具进行全网扫描踩点,发现存在漏洞的网站再进一步攻击,通过部署Bot管理,可以有效阻断自动化扫描工具的访问,从而避免攻击面的暴露。

相关推荐
游戏开发爱好者81 小时前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
pianmian11 小时前
类(JavaBean类)和对象
java
我叫小白菜1 小时前
【Java_EE】单例模式、阻塞队列、线程池、定时器
java·开发语言
Albert Edison2 小时前
【最新版】IntelliJ IDEA 2025 创建 SpringBoot 项目
java·spring boot·intellij-idea
超级小忍2 小时前
JVM 中的垃圾回收算法及垃圾回收器详解
java·jvm
weixin_446122462 小时前
JAVA内存区域划分
java·开发语言·redis
勤奋的小王同学~3 小时前
(javaEE初阶)计算机是如何组成的:CPU基本工作流程 CPU介绍 CPU执行指令的流程 寄存器 程序 进程 进程控制块 线程 线程的执行
java·java-ee
TT哇3 小时前
JavaEE==网站开发
java·redis·java-ee
2401_826097623 小时前
JavaEE-Linux环境部署
java·linux·java-ee
安全系统学习3 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss