Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)

0
0
【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)

2017-03-07 11:24:11
来源:apache.org 作者:安全客

阅读:2520次
点赞(0)
收藏





【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)

背景介绍

Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。(来源:百度百科)

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。


【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)

漏洞影响

攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。


POC

暂未公布

修复建议

如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。您也可以切换到Jakarta插件的不同实现。


官网公告

https://cwiki.apache.org/confluence/display/WW/S2-045


补丁地址

Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1


【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)
【重大漏洞预警】Struts 2 远程代码执行漏洞(CVE-2017-5638)
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://cwiki.apache.org/confluence/display/WW/S2-045

Viewing all articles
Browse latest Browse all 12749