【漏洞预警】Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)安全预警
【摘要】 Apache官方公布Struts 2 RCE(远程代码执行)漏洞,使用华为云漏洞扫描服务可一键检测排查该漏洞是否存在于您的资产中。
概要
今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。
漏洞信息
| 影响范围 | 所有Struts2开发者及用户 |
| 漏洞级别 | 【严重】(说明:漏洞级别共四级:一般、重要、严重、紧急。) |
| 影响版本 | Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16确认受影响; 其余版本可能也受影响。 |
| CVE编号 | CVE-2018-11776 |
| 官方链接 | https://cwiki.apache.org/confluence/display/WW/S2-057 |
解决方案
官方解决方案:升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。
注意:修复漏洞前请将资料备份,并进行充分测试。
如何快速检测自己的资产是否安全?
目前,华为云漏洞扫描服务可针对该漏洞进行一键检测,仅需几分钟即可知道自己的资产是否存在该漏洞。
华为云漏洞扫描服务现可免费体验。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)