文档章节

【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞

_夜枫
 _夜枫
发布于 2017/07/11 14:15
字数 314
阅读 46
收藏 0

了解更多技术文章请点击原文链接

2017年7月7日,Apache Struts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。 
具体详情如下:                                                                                                      漏洞编号:  
CVE-2017-9791 
漏洞名称:  
Struts(S2-048)远程命令执行漏洞 
官方评级:  
高危  
漏洞描述:  
Showcase插件ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。 
漏洞利用条件和方式:  
远程利用  
漏洞影响范围:  
Struts 2.3.x系列中的Showcase插件 
漏洞检测:  
自查Struts框架版本 
漏洞修复建议(或缓解措施):  

  • 根据业务情况,禁用关闭(删除) \struts-2.3.x\apps\struts2-showcase.war包
  • 建议升级到最新版本2.5.10.1
  • 阿里云云盾态势感知已经支持检测
  • 阿里云云盾WAF默认支持防御,可以选用WAF防护

情报来源:  

  • Apache Sturts官方安全公告:HTTPS://cwiki.apache.org/confluence/display/WW/S2-048

了解更多技术文章请点击原文链接

本文转载自:http://click.aliyun.com/m/25681/  

_夜枫
粉丝 10
博文 506
码字总数 0
作品 0
朝阳
后端工程师
私信 提问
ST2-045 For POC

转载请注明: 转载自Legend‘s BLog 本文链接地址: ST2-045 For POC 利用方法: 漏洞说明: Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于J...

apachecn_飞龙
2017/03/18
0
0
基于 Jakarta plugin 插件的 Struts 远程代码执行漏洞

漏洞编号:CVE-2017-5638 2017年3月6日,Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行...

妩媚的悟空
2017/03/07
3.9K
25
Struts 2再曝远程代码执行漏洞S2-037

导读 今年4月份,Apache Stuts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。 悲...

linuxprobe
2016/06/22
0
0
strut2 升级至2.3.20

问题现象: Apache Struts s2-005 远程代码执行漏洞(CVE-2010-1870) 受影响版本: Struts 2.0.0 - Struts 2.1.8.1 漏洞描述: 在Struts2中访问OGNL的上下文对象必须要使用#符号,S2-003的修复...

dsmsnow
2015/03/18
0
0
Struts2远程代码执行漏洞(CNNVD-201703-152)最新漏洞

近日,国家信息安全漏洞库(CNNVD)发布了关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此...

amosguo
2017/03/09
1
0

没有更多内容

加载失败,请刷新页面

加载更多

全面剖析 Knative Eventing 0.6 版本新特性

前言 Knative Eventing 0.6 版本已经于5月15号正式发布。相比于0.5版本,此次发布包含了一些重要特性及更新。针对这些新特性以及更新,我们如何快速、精准的定位主要技术点。本篇文章针对这些...

阿里云官方博客
30分钟前
2
0
在闲鱼,我们如何用Dart做高效后端开发?

背景 像阿里其他技术团队以及业界的做法一样,闲鱼的大多数后端应用都是全部使用java来实现的。java易用、丰富的库、结构容易设计的特性决定了它是进行业务开发的最好语言之一。后端应用中数...

阿里云云栖社区
31分钟前
28
1
初学Docker容器网络不得不看的学习笔记

【技术沙龙002期】数据中台:宜信敏捷数据中台建设实践|宜信技术沙龙 将于5月23日晚8点线上直播,点击报名 一、关于Docker Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从Apache2.0...

宜信技术学院
34分钟前
17
0
Django框架配置

今天我们学习Django框架配置,首先先来看一下如何在Django中创建APP! 1.Django中创建APP 首先我们打开PyCharm,找到之前你创建的Django项目,我的项目是First_Project: (1)先选中你要运行...

彩色泡泡糖
36分钟前
1
0
git代码迁移

一、从阿里云code迁移到gitLab 1、在gitLab上新建一个项目Bicon,添加私钥 2、从原地址克隆一份裸版本库 git clone --bare git://xxxx_Bicon.git 这里的地址是阿里云code的地址 3、以镜像推送...

星爵22
37分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部