【漏洞预警】Struts(S2-048)远程命令执行漏洞

2017-07-10 10:32:26
Dear user

您好!近日,Apache Struts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。

为避免您的业务受影响,京东云提示您关注此漏洞,并及时自查、升级和修复。详细参见如下指引说明:

【漏洞概述】
Showcase应用ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在安全风险

【漏洞编号】
CVE-2017-9791

【风险等级】
高风险

【漏洞影响】
远程构建恶意攻击指令执行获取服务器权限

【影响范围】
使用 Struts 1 plugin 和 Struts 1 action 的Struts 2.3.x版本

【检测方法】
自行检查应用中所使用的Struts框架版本及插件使用情况

【修复建议】
1.建议升级到官方最新版本2.5.10.1
2.禁用Struts2-struts1-plugin插件
3.根据业务情况,禁用关闭(删除) \\struts-2.3.x\\apps\\struts2-showcase.war包;

【相关参考】

JD Cloud team

2017-07-10 10:32:26

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×