漏洞预警:Apache Struts2 S2-057远程代码执行漏洞

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。
漏洞预警:Apache Struts2 S2-057远程代码执行漏洞

概要:

  • Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
  • Apache Struts2存在S2-057远程代码执行漏洞,当定义xml配置时,namespace没有设置,并且上层操作没有设置或者使用的是通配符namespace时,可能导致远程命令执行,当使用没有设置value和action的url标签的时候也会导致相同的漏洞。

漏洞影响:

  • 定义XML配置时namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace可能会导致远程代码执行。
  • url标签未设置value和action值且上层动作未设置或用通配符namespace可能会导致远程代码执行。
受影响版本:

  • Apache Struts2 >=2.3,<=2.3.34
  • Apache Struts2 >=2.5,<=2.5.16
漏洞等级

  • 高危

报告者:

  • Man Yue Mo——Semmle Security Research team

CVE ID:

  • CVE-2018-11776

解决方法:

  • 升级到Apache Struts版本2.3.35或2.5.17。

向后兼容性:

  • 2.3.35和2.5.17版本仅包含安全修复程序,预计不会出现向后不兼容问题。

临时解决办法:

  • 请尽快升级到Apache Struts版本2.3.35或2.5.17,因为它们还包含关键的主动性整体安全方面的改进。
  • 验证您是否以namespace为基础,将xml配置文件中的所有已定义结果设置。同时要验证在你的JSP文件中已经给所有url标签设置value或者action。
CE安全网

发表评论

您必须登录才能发表评论!