歡迎光臨
我們一直在努力

漏洞預警 | Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)

原文出處:https://www.secfree.com/article-988.html

漏洞描述
當namespace沒有為基礎xml配置中定義的結果設定值時,可以執行RCE攻擊,同時,其上部操作配置沒有或通配符namespace。當使用url沒有value和action設定的標籤並且同時其上部動作配置沒有或通配符時,相同的可能性namespace。

影響版本
Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16

修復建議
升級到Struts 2.3.35或Struts 2.5.17

臨時解決方案:
驗證您是否已namespace為基礎xml配置中的所有已定義結果設定(並且始終不會忘記設定)(如果適用)。還要驗證您是否已設定(並且始終不會忘記設定)value或JSP中的action所有url標記。僅當它們的上部動作配置沒有或通配符時才需要它們namespace。

參考連結:https://cwiki.apache.org/confluence/display/WW/S2-057
參考連結:https://www.secfree.com/article-988.html
參考連結:https://www.anquanke.com/post/id/157397

文章圖片來源:https://www.secfree.com/article-988.html
前言引用來源:https://www.secfree.com/article-988.html

-------------------
如果你認同支持我們每日分享的文章的話,請幫我們按個讚並且點擊追蹤「搶先看」,這樣就可以快速獲得最新消息囉!
您的分享及點讚,是我們最大的動力來源。
https://www.facebook.com/LonelyPoPo/

贊(0) 打賞
轉載請附上作者連結:波波的寂寞世界 » 漏洞預警 | Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)

波波的寂寞世界

Facebook聯繫我們

覺得文章有用,請作者喝杯咖啡

掃一掃打賞作者狗糧