【漏洞预警】Apache Struts2远程代码执行漏洞(CVE-2018-11776)

2018-08-24 09:47:52
尊敬的用户

您好,近日京东云安全团队监测到Apache Struts2远程命令执行漏洞,官方编号:S2-057。为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】

定义XML配置namespace值为通配符(“/*”),或在上层action中namespace值未设置时可能会导致web应用远程代码执行漏洞。


【风险等级】

CVE-2018-11776:严重


【影响范围】

Struts 2.3 - Struts 2.3.34

Struts 2.5 - Struts 2.5.16


【修复建议】

升级至安全版本

Struts 2.3.35 版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.35

Struts 2.5.17 版本:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.17


【参考信息】

参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057


京东云团队

2018-08-24 09:47:52