Apache Struts: RCE-Angriff möglich

Die Sicherheitslücke befindet sich im Upload-Mechanismus des Frameworks Apache Struts. Durch manipulierte Upload-Parameter können Angreifende bösartige Dateien an eine beliebige Stelle im Upload-System hochladen und zu einem späteren Zeitpunkt ausführen. Eine mögliche Folge könnte die komplette Übernahme des Systems sein. Die Schwachstelle hat die CVE-Nummer CVE-2024-53677 und einen CVSS-Base-Score von 9.5/10.

Betroffen sind die Struts-Versionen 2.0.0 bis 2.5.33 und 6.0.0 bis 6.3.0.2. Anwendungen, die den FileUploadInterceptor nicht verwenden, sind allerdings von der Schwachstelle nicht betroffen. Version 6.4.0 schließt die Lücke. Ein Workaround ist nicht bekannt.

Aktualisieren Sie Apache Struts auf Version 6.4.0 oder höher und migrieren Sie auf den neuen Datei-Upload. Beachten Sie dabei: Da für das Update Programmcode anzupassen ist, ist das Update nicht abwärtskompatibel.