12月11日Apache基金会针对Java应用框架Struts提出警告，指出此框架存在重大层级的漏洞CVE-2024-53677，起因是文件上传逻辑错误，导致攻击者能够用来路径穿越，从而远端执行任意程序码（RCE），CVSS风险评分为9.5（满分10分），影响2.0.0至2.3.37版、2.5.0至2.5.33版，以及6.0.0至6.3.0.2版Struts，Apache基金会发布6.4.0版修补，他们呼吁套用新版程序，并迁移至新的文件上传机制。事隔不到一週，传出这项漏洞疑似出现尝试利用的迹象。

12月15日资安研究机构SANS提出警告，他们在14日侦测到IP位址169.150.226[.]162尝试扫描这项漏洞的迹象，研究人员也对于漏洞公布更多细节。

SANS指出，一旦攻击者利用这项漏洞，就有机会将文件上传到受到管制的资料夹，若是他们将Web Shell上传到网站的根目录，就有机会远端执行任意程序码。

对于Apache基金会在资安公告里提及，CVE-2024-53677与一年前公布的CVE-2023-50164相当类似的情况，SANS指出，CVE-2024-53677很有可能是前一次修补不全造成，而且已有公开的概念性验证（PoC）程序码，他们也发现有人将这些程序码用于积极利用漏洞的情况。

值得留意的是，SANS提及攻击者不光利用CVE-2024-53677，很有可能还利用另一个与上传有关的弱点。不过，他们并未透露这项弱点的CVE编号。