1229浏覽量

[漏洞公告] Apache Struts2遠程代碼執行高危漏洞(CVE-2018-11776)

來源:阿裏雲 時間:2018-08-23

2018年8月22日,阿裏雲雲盾應急響應中(zhōng)心監測到Apache官方發布了安全更新,披露了一(yī)個遠程代碼執行漏洞S2-057。

 

漏洞描述
定義XML配置namespace值爲通配符(“/*”),或在上層action中(zhōng)namespace值缺省時可能會導緻web應用遠程代碼執行漏洞。


如下(xià)兩種配置存在漏洞:

     
        a2.action
     

 

或:

  /WEB-INF/help.jsp

參考鏈接:https://cwiki.apache.org/confluence/display/WW/S2-057

 

官方評級
CVE-2018-11776:嚴重

 

影響範圍
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16

 

安全建議
升級至最新版本:升級至版本2.3.35或2.5.17
升級鏈接:https://struts.apache.org/download.cgi 

聯系我(wǒ)們

一(yī)次需求提交或許正是成就一(yī)個出色産品的開(kāi)始。
歡迎填寫表格或發送合作郵件至: qczsky@126.com

大(dà)理青橙科技

電(diàn)話(huà):13988578755 13988578755

郵箱:qczsky@126.com

地址:大(dà)理市下(xià)關龍都春天10層