Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)安全预警

2018-08-23 15:31:10 大数据云

一、概要

今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置valueaction值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。

利用漏洞:CVE-2018-11776

参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Struts 2.3 - Struts 2.3.34Struts 2.5 - Struts 2.5.16确认受影响;

其余版本可能也受影响。

四、安全建议

官方解决方案:升级至版本2.3.352.5.17

升级链接:https://struts.apache.org/download.cgi#struts2517

注意:修复漏洞前请将资料备份,并进行充分测试。