【漏洞预警】Struts(S2-048)远程命令执行漏洞

2017-07-10 10:32:26
Dear user

您好!近日,Apache Struts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。

为避免您的业务受影响,京东云提示您关注此漏洞,并及时自查、升级和修复。详细参见如下指引说明:

【漏洞概述】
Showcase应用ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在安全风险

【漏洞编号】
CVE-2017-9791

【风险等级】
高风险

【漏洞影响】
远程构建恶意攻击指令执行获取服务器权限

【影响范围】
使用 Struts 1 plugin 和 Struts 1 action 的Struts 2.3.x版本

【检测方法】
自行检查应用中所使用的Struts框架版本及插件使用情况

【修复建议】
1.建议升级到官方最新版本2.5.10.1
2.禁用Struts2-struts1-plugin插件
3.根据业务情况,禁用关闭(删除) \\struts-2.3.x\\apps\\struts2-showcase.war包;

【相关参考】

JD Cloud team

2017-07-10 10:32:26

This content only has Chinese version for now, please come back later for English version, or use web browser's webpage translation function to get English content.

Do not show this message again.
×