• 阿里云河南授权服务中心--[ 阿里云精英级合作伙伴 ]
  • 阿里云河南授权服务中心电话 :0371-56982772

【漏洞预警】Apache Struts2远程代码执行高危漏洞(CVE-2018-11776)
发布时间:2018-08-23 17:09

  2018年8月22日,阿里云云盾应急响应中心监测到Apache官方发布了安全更新,披露了一个远程代码执行漏洞S2-057。

  漏洞描述

  定义XML配置namespace值为通配符(“/*”),或在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。

  如下两种配置存在漏洞:

  <action name="a1">

  <result type="redirectAction">

  <param name="actionName">a2.action</param>

  </result>

  </action>

  或:

  <action name="help" namespace="/*">

  <result>/WEB-INF/help.jsp</result>

  </action>

  参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057

  官方评级

  CVE-2018-11776:严重

  影响范围

  Struts 2.3 - Struts 2.3.34

  Struts 2.5 - Struts 2.5.16

  安全建议

  升级至最新版本:升级至版本2.3.35或2.5.17

  升级链接:https://struts.apache.org/download.cgi

  我们会关注后续进展,请随时关注官方公告。

  如有任何问题,可随时通过工单或服务电话95187联系反馈。

  阿里云云盾应急响应中心

  2018.08.22

相关资讯

售前咨询:

0371-56982772