一、概要
今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。
利用漏洞:CVE-2018-11776
参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16确认受影响;
其余版本可能也受影响。
四、安全建议
官方解决方案:升级至版本2.3.35或2.5.17。
升级链接:https://struts.apache.org/download.cgi#struts2517
注意:修复漏洞前请将资料备份,并进行充分测试。
Copyright © 2013-2022 dsjidc.com All Rights Reserved. 昊之云 版权所有 河南大数据通信科技有限公司 豫ICP备14015351号
《中华人民共和国增值电信业务经营许可证》| 豫B1.B2-20160262 | 豫公网安备 41010502003911号