Struts2远程代码执行漏洞预警

Posted 魔豆的BLOG<

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Struts2远程代码执行漏洞预警相关的知识,希望对你有一定的参考价值。

近期struts2 框架再现高危远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638。利用此漏洞可对使用了struts2框架的网站进行远程命令执行,对服务器造成威胁。请相关单位进行及时自检,漏洞详情及修补方案请及时关注官方公告。官方公告链接:https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0

漏洞详情:

 恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。

技术分享

 

官方评级:

高危 

漏洞影响范围: 

Struts2.3.5 - Struts 2.3.31

Struts2.5 - Struts 2.5.10

 

漏洞修复建议(或缓解措施): 

建议您升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本

提醒:在升级前请做好备份。

 

官方下载地址: 

Struts 2.3.32:https://dist.apache.org/repos/dist/release/struts/2.3.32/struts-2.3.32-all.zip

Struts 2.5.10.1:https://dist.apache.org/repos/dist/release/struts/2.5.10.1/struts-2.5.10.1-all.zip

以上是关于Struts2远程代码执行漏洞预警的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警Apache Struts2(S2-052)远程代码执行漏洞

Struts2 S2-052远程代码执行漏洞预警(CVE-2017-9805)

高危漏洞预警39期:Struts2 REST插件XStream远程代码执行漏洞

预警通告Apache Struts2 (S2-053) 远程代码执行漏洞

威胁预警Apache Struts2远程代码执行漏洞(S2-053)

新版发布:Struts2 S2-057远程代码执行漏洞预警V2.0