午夜惊魂！ Struts2 showcase现远程代码执行漏洞

Posted 2021-04-28 高嘉科技

漏洞详情：  

Struts2官方已经确认该漏洞（漏洞编号S2-048，CVE编号：CVE-2017-9791），漏洞危害程度为高危。

受影响版本：Struts 2.3.x系列中的showcase应用

漏洞利用前置条件：必须使用Struts-core-1.x.x.jar插件，且ActionMessage类的key属性可控。

漏洞描述：在Struts 2.3.x 系列的Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞。当Apache Struts 2中的 Struts 1插件启用时，可能导致不受信任的输入传入到ActionMessage类中导致命令执行。

 

解决方案：

目前Apache官方暂未发布官方补丁。可采用一下缓解措施。

方法一：

向ActionMessage传递原始消息时，始终使用类似a情形的资源键值，而不是将原始数值传递给ActionMessage如b的情形：

情形a：

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

情形b：

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

方法二：

停用showcase.war

方法三：

安恒信息玄武盾产品可为广大客户提供0day期间的防护，建议尽快与高嘉科技联系并快速接入。

提醒广大用户，各种民间poc已经在路上，此事应慎重对待，刻不容缓。