【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞

2017/07/11 14:15
阅读数 298

了解更多技术文章请点击原文链接

2017年7月7日,Apache Struts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。 
具体详情如下:                                                                                                      漏洞编号:  
CVE-2017-9791 
漏洞名称:  
Struts(S2-048)远程命令执行漏洞 
官方评级:  
高危  
漏洞描述:  
Showcase插件ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。 
漏洞利用条件和方式:  
远程利用  
漏洞影响范围:  
Struts 2.3.x系列中的Showcase插件 
漏洞检测:  
自查Struts框架版本 
漏洞修复建议(或缓解措施):  

  • 根据业务情况,禁用关闭(删除) \struts-2.3.x\apps\struts2-showcase.war包
  • 建议升级到最新版本2.5.10.1
  • 阿里云云盾态势感知已经支持检测
  • 阿里云云盾WAF默认支持防御,可以选用WAF防护

情报来源:  

  • Apache Sturts官方安全公告:HTTPS://cwiki.apache.org/confluence/display/WW/S2-048

了解更多技术文章请点击原文链接

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部