【漏洞預警】Apache Struts2 S2-057遠程代碼執行漏洞

2018-08-27 15:45:54

圖片關鍵詞

近日,Apache Struts發布最新安全公告,當使用沒有namespace的results配置, 同時其上一層的action配置也沒有namespace或者通配符時;或者當action配置里面使用了url tag,但并沒有為其賦值時,都有可能會引起遠程代碼執行漏洞(S2-057),漏洞編號CVE-2018-11776。

圖片關鍵詞


漏洞編號: 
CVE-2018-11776

漏洞名稱:
S2-057:Apache Struts2遠程代碼執行漏洞

漏洞簡介:
如果沒有為在底層xml配置中定義的結果設置namespace,同時當使用namespace的results配置且上一層的action配置也沒有時,可能會引起遠程代碼執行漏洞。

影響范圍:
Struts 2.3 - Struts 2.3.34, Struts 2.5 - Struts 2.5.16

風險級別:
高危

修復方案:
升級至Apache Struts2 版本2.3.35或者 2.5.17;

亞信安全解決方案
亞信安全深度發現設備TDA已經可以檢測該漏洞,規則如下:
2726: CVE-2018-11776 - APACHE STRUTS RCE EXPLOIT - HTTP(Request)


陕西陕西十一选五开奖