Apache Struts 再曝高危远程代码执行漏洞,快升级!

王练
 王练
发布于 2018年08月26日
收藏 3

Semmle 安全研究员 Man Yue Mo 近日披露了一个存在于流行的 Apache Struts Web 应用框架中的远程执行代码漏洞,可能允许远程攻击者在受影响的服务器上执行恶意代码。

该漏洞编号为 CVE-2018-11776 ,被归类为高危漏洞,是由于在某些配置下对 Struts 框架核心中用户提供的不可信输入的验证不充分而产生。它会在两种情况下容易被触发:

  • Struts 配置中的 alwaysSelectFullNamespace 标志设置为 true 。

  • Struts 配置文件包含 “action” 或 “url” 标记,该标记未指定可选的 namespace 属性或指定通配符命名空间。

据悉,使用 Apache Struts 2.3~2.3.34 和 2.5~2.5.16 版本,以及一些已经停止支持的 Struts 版本的所有应用都可能容易受此漏洞攻击,Apache Struts 团队在收到反馈后,已于前两天发布的 2.3.35 和 2.5.17 中进行了修复,并建议用户尽快升级。

这不是 Semmle 安全研究团队第一次报告 Apache Struts 的高危 RCE 漏洞。不到一年前,该团队披露了在 Apache Struts 中类似的远程执行代码漏洞(CVE-2017-9805)。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Apache Struts 再曝高危远程代码执行漏洞,快升级!
加载中

精彩评论

eechen
eechen
我说个笑话,Java框架很安全.
九千里
九千里
想当初struts也用过,从他struts1到后来与webwork的合并,说实话,用起来的确挺方便,整个网站有哪些对外的url也显得很清楚,这样让先来和后来的开发人员都能了解到大概。。然而终究被一连串的漏洞击败了,但是吧,我觉得大家吐槽吐槽就好了,吐槽的过了就显得有点白眼狼。。毕竟好像大家都没什么资格去吐槽,人家是开源的,并且背后是apache啊。。
叫我刀刀
叫我刀刀
放弃了, 我要开始学php了

最新评论(13

马丁的早晨
马丁的早晨

引用来自“eechen”的评论

我说个笑话,Java框架很安全.
一点都不好笑,因为根本就没人用了
lanybass
lanybass
66666
九千里
九千里
想当初struts也用过,从他struts1到后来与webwork的合并,说实话,用起来的确挺方便,整个网站有哪些对外的url也显得很清楚,这样让先来和后来的开发人员都能了解到大概。。然而终究被一连串的漏洞击败了,但是吧,我觉得大家吐槽吐槽就好了,吐槽的过了就显得有点白眼狼。。毕竟好像大家都没什么资格去吐槽,人家是开源的,并且背后是apache啊。。
叶知泉
叶知泉
研究structs 研究上瘾了.么
blu10ph
blu10ph
还有人用?~
打怪兽的汪
打怪兽的汪
这东西还没死啊
叫我刀刀
叫我刀刀
放弃了, 我要开始学php了
waylau
waylau
使用 Sring 5 MVC 替代吧~ https://github.com/waylau/spring-5-book
da54ng
da54ng
这后知后觉的速度~~ -_|| (PS. 早已升级完毕!)
eechen
eechen
我说个笑话,Java框架很安全.
返回顶部
顶部