ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → 漏洞预警:Apache Struts2 S2-057远程代码执行漏洞

漏洞预警:Apache Struts2 S2-057远程代码执行漏洞

时间:2018-08-23 00:00:00人气:作者:本站作者我要评论
漏洞预警:Apache Struts2 S2-057远程代码执行漏洞

概要:

  • Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
  • Apache Struts2存在S2-057远程代码执行漏洞,当定义xml配置时,namespace没有设置,并且上层操作没有设置或者使用的是通配符namespace时,可能导致远程命令执行,当使用没有设置value和action的url标签的时候也会导致相同的漏洞。

漏洞影响:

  • 定义XML配置时namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace可能会导致远程代码执行。
  • url标签未设置value和action值且上层动作未设置或用通配符namespace可能会导致远程代码执行。
受影响版本:

  • Apache Struts2 >=2.3,<=2.3.34
  • Apache Struts2 >=2.5,<=2.5.16
漏洞等级

  • 高危

报告者:

  • Man Yue Mo——Semmle Security Research team

CVE ID:

  • CVE-2018-11776

解决方法:

  • 升级到Apache Struts版本2.3.35或2.5.17。

向后兼容性:

  • 2.3.35和2.5.17版本仅包含安全修复程序,预计不会出现向后不兼容问题。

临时解决办法:

  • 请尽快升级到Apache Struts版本2.3.35或2.5.17,因为它们还包含关键的主动性整体安全方面的改进。
  • 验证您是否以namespace为基础,将xml配置文件中的所有已定义结果设置。同时要验证在你的JSP文件中已经给所有url标签设置value或者action。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网