【漏洞预警】Struts2 Freemarker标签远程执行命令漏洞(S2-053)

2017-09-08 11:52:16
Dear user

您好!Struts官方发布一个中危的安全漏洞,该漏洞编号为:S2-053,在一定条件下,当开发人员在Freemarker标签中使用错误的构造时,可能会导致远程代码执行漏洞,存在一定的安全风险。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
当在Freemarker标签中使用表达式常量或强制表达式时使用请求值可能会导致远程代码执行漏洞;

【漏洞编号】
CVE-2017-12611

【风险等级】
中危

【漏洞影响】
远程代码执行;

【利用条件】
1)该漏洞利用需要开启debug模式;
2)远程利用;

【影响版本】
默认配置下不受影响
1)Struts 2.0.1 - Struts 2.3.33
2)Struts 2.5 - Struts 2.5.10

【修复建议】
不要在代码中使用上述结构,或者配置只读属性来初始化value属性(仅限getter属性);
升级到Apache Struts 2.5.13或2.3.34版本;

【相关参考】
https://struts.apache.org/docs/s2-053.html

JD Cloud team

2017-09-08 11:52:16

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×