Apache Struts 远程代码执行漏洞 PoC 利用代码已发布

据Cybersecuritynews消息，针对关键的 Apache Struts 漏洞（CVE-2024-53677）的概念验证（PoC）利用代码已公开。该漏洞 CVSS 评分达 9.5，因框架文件上传机制缺陷，攻击者可远程执行任意代码，影响 Struts 多个版本，修复版本为 6.4.0 及后续。其源于已弃用组件的路径遍历漏洞，攻击者可操纵参数绕过限制上传恶意文件，进而导致路径遍历与远程代码执行等严重后果。PoC 代码发布使大规模利用风险剧增，已有主动攻击迹象。