【漏洞预警】Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)安全预警

举报
吾乃攻城猫喵大人 发表于 2018/08/23 19:47:30 2018/08/23
【摘要】 Apache官方公布Struts 2 RCE(远程代码执行)漏洞,使用华为云漏洞扫描服务可一键检测排查该漏洞是否存在于您的资产中。

概要


今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置valueaction值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。


漏洞信息


影响范围所有Struts2开发者及用户
漏洞级别
【严重】(说明:漏洞级别共四级:一般、重要、严重、紧急。)
影响版本

Struts 2.3 - Struts 2.3.34Struts 2.5 - Struts 2.5.16确认受影响;

其余版本可能也受影响。

CVE编号CVE-2018-11776
官方链接https://cwiki.apache.org/confluence/display/WW/S2-057


解决方案


官方解决方案:升级至版本2.3.352.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。

注意:修复漏洞前请将资料备份,并进行充分测试。


如何快速检测自己的资产是否安全?


目前,华为云漏洞扫描服务可针对该漏洞进行一键检测仅需几分钟即可知道自己的资产是否存在该漏洞。


华为云漏洞扫描服务现可免费体验



【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200