安全预警 | Apache Struts2 再爆高危漏洞(S2-057)创宇盾无需升级即可防御

来源:2019.06.20

今日,Apache Struts发布最新的安全公告,Apache Struts2存在一个远程代码执行漏洞,漏洞编号为S2-057,CVE编号:CVE-2018-11776。在一定条件下,攻击者可以利用该漏洞远程执行代码。该漏洞的综合评级为“高危

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。

当定义XML配置时,如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时,可能会导致远程代码执行;当url标签未设置value和action值且上层动作未设置或用通配符namespace时,可能会导致远程代码执行。

 

安全建议

漏洞影响版本:Struts 2.3 to 2.3.34;Struts 2.5 to 2.5.16

 

具体修复建议如下:

1、目前官方已发布补丁,用户可升级至版本2.3.35或2.5.17

注:这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。

2、临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。

漏洞公告发布后,创宇盾安全专家第一时间进行响应。经确认,知道创宇云安全旗下云防御平台 创宇盾 无须升级安全策略即可有效拦截利用该漏洞的攻击。

热门文章

  • WebSphere远程代码执行漏洞(CVE-2020-4450)

    2020年6月5日,IBM官方发布通告修复了WebSphere Application Server(WAS)中的远程代码执行(CVE-2020-4450)漏洞,此漏洞由IIOP协议上的反序列化造成,未经身份认证的攻击者可以通过IIOP协议远程攻击WAS服务器,在目标服务端执行任意代码,获取系统权限,进而接管服务器。

  • SpaceX火箭发射成功,勒索团伙入侵其IT供应商内网并留下祝贺信息

    SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,勒索团伙DopplePaymer即刻宣布入侵了NASA IT供应商之一DMI的内网。

  • 用友NC反序列化远程命令执行“0-Day”漏洞

    2020年6月4日,知道创宇监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经知道创宇安全团队分析,漏洞真实存在,攻击者通过构造特定的HTTP请求,可以成功利用漏洞在目标服务器上执行任意命令,该漏洞风险极大,可能造成严重的信息泄露事件。

关注知道创宇云安全

获取安全动态