【漏洞公告】CVE-2018-11776/S2-057:Struts 2远程命令执行漏洞
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。
漏洞编号:
CVE-2018-11776/S2-057
漏洞名称:
Struts 2远程命令执行漏洞
漏洞描述:
在使用Struts2框架定义XML配置时,如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。
url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。
影响范围:
Struts 2.3 – Struts 2.3.34, Struts 2.5 – Struts 2.5.16
其余版本也可能会受到影响
漏洞检测:
开发人员检查是否使用了受影响版本范围内的版本。
漏洞修复建议(或缓解措施):
建议您根据业务情况,升级到最新版本。
下载链接如下:
- Struts 2.3.35 版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.35
- Struts 2.5.17 版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.17
注:建议您在版本升级前请使用快照或其他方式做好数据备份工作,避免出现意外。
情报来源:
- Struts 官方通告:https://cwiki.apache.org/confluence/display/WW/S2-057
- 阿里云官方公告:https://help.aliyun.com/noticelist/articleid/24270415.html
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
