CNNVD关于Apache Struts2 S2-057安全漏洞情况的通报

近日,国乡信息安然破绽库(CNNVD)收到关于Apache Struts2 S2-057安然破绽(CNNVD-201808-740、CVE-2018-11776)环境的报送。成功使用破绽的进击者可能对目标系统履行恶意代码。Apache Struts 2.3–Apache Struts 2.3.34、ApacheStruts 2.5–Apache Struts 2.5.16等版本均受此破绽影响。

今朝,Apache官方已经宣布了版本更新修复了该破绽。建议用户及时确认Apache Struts产品版本,如受影响,请及时采取修补步伐。

一、破绽先容

Apache Struts2是美国阿帕奇(Apache)软件基金会下属的Jakarta项目中的一个子项目,是一个基于MVC设计的Web利用框架。

2018年8月22日,Apache官方宣布了Apache Struts2 S2-057安然破绽(CNNVD-201808-740、CVE-2018-11776)。当在struts2开拓框架中启用泛namespace功能,并且应用特定的result时,会触发远程代码履行破绽。

二、迫害影响

成功使用该破绽的进击者,可以在目标系统中履行恶意代码。Apache Struts 2.3–Apache Struts2.3.34、Apache Struts2.5–Apache Struts 2.5.16等版本等均受此破绽影响。

三、修复建议

今朝,Apache官方已经宣布了版本更新修复了该破绽。建议用户及时确认Apache Struts产品版本,如受影响,请及时采取修补步伐。破绽修补步伐如下:

进级到struts2 2.3.35 或者 struts2 2.5.17

https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0

本传递由CNNVD技巧支撑单位——安恒信息技巧有限公司、远江盛邦(北京)收集安然科技株式会社等供给支持。

CNNVD将继承跟踪上述破绽的相关环境,及时宣布相关信息。如有必要,可与CNNVD联系。

联系要领: cnnvd@itsec.gov.cn

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包