【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)
2017-03-07 11:24:11
来源:apache.org 作者:安全客
阅读:2520次
点赞(0)
收藏
![【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)]()
![【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)]()
![【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)]()
![【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)]()
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://cwiki.apache.org/confluence/display/WW/S2-045
2017-03-07 11:24:11
来源:apache.org 作者:安全客
阅读:2520次
点赞(0)
收藏
背景介绍
Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。(来源:百度百科)漏洞描述
使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。
漏洞影响
攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。
POC
暂未公布修复建议
如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。您也可以切换到Jakarta插件的不同实现。
官网公告
https://cwiki.apache.org/confluence/display/WW/S2-045
补丁地址
Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://cwiki.apache.org/confluence/display/WW/S2-045