Kritische Sicherheitslücke in Apache Struts 2: Remote Code Execution möglich (CVE-2024-53677)
Am 26. November 2024 wurde eine schwerwiegende Sicherheitslücke in Apache Struts 2 mit einer CVSS-Basisbewertung von 9,5 (CRITICAL) veröffentlicht. Diese Schwachstelle betrifft die Logik für Datei-Uploads und ermöglicht Angreifern, durch Pfad-Traversal schädliche Dateien hochzuladen und in der Folge Remote Code Execution (RCE) auszuführen. Die Schwachstelle wurde wie folgt bewertet:
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/S:N/AU:Y/R:A/V:C/RE:L/U:Red.
Die Sicherheitslücke betrifft alle Anwendungen, die den FileUploadInterceptor verwenden. Systeme, die diesen Mechanismus nicht einsetzen, sind nicht gefährdet. Betroffen sind:
- Struts 2.0.0 bis 2.3.37 (EOL)
- Struts 2.5.0 bis 2.5.33
- Struts 6.0.0 bis 6.3.0.2
Ein Angreifer kann die Datei-Upload-Parameter manipulieren, um Pfad-Traversal-Angriffe durchzuführen. In bestimmten Szenarien ermöglicht dies das Hochladen schädlicher Dateien, die anschließend für Remote Code Execution verwendet werden können.
- Angriffsvektor: Netzwerk (AV:N)
- Komplexität: Hoch (AC:H)
- Angreifer-Typ: Physisch anwesend (AT:P)
- Privilegien erforderlich: Keine (PR:N)
- Benutzereingriff: Nicht erforderlich (UI:N)
- Vertraulichkeit, Integrität, Verfügbarkeit: Hoch (VC:H/VI:H/VA:H)
Wichtig: Anwendungen, die nicht den FileUploadInterceptor nutzen, sind nicht betroffen.