开发者社区> 问答> 正文

【漏洞公告】CVE-2018-11776/S2-057:Struts 2远程命令执行漏洞

正禾 2018-08-22 20:17:44 15314
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞(漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。
  

漏洞编号:
CVE-2018-11776/S2-057
漏洞名称:
Struts 2远程命令执行漏洞
漏洞描述:
在使用Struts2框架定义XML配置时,如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。
url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。
影响范围:
Struts 2.3 – Struts 2.3.34, Struts 2.5 – Struts 2.5.16
其余版本也可能会受到影响
漏洞检测:
开发人员检查是否使用了受影响版本范围内的版本。  
漏洞修复建议(或缓解措施):  
建议您根据业务情况,升级到最新版本。
下载链接如下:

注:建议您在版本升级前请使用快照或其他方式做好数据备份工作,避免出现意外。
情报来源:



XML 安全 Java Apache 数据格式
分享到
取消 提交回答
全部回答(2)
  • 服务器云
    2018-09-07 10:11:41
     
    关注~~
     
    0 0
  • 许承翰
    2018-08-24 14:37:29
    Re【漏洞公告】CVE-2018-11776/S2-057Struts 2远程命令执行漏洞
    0 0
添加回答

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题