最新漏洞预警 | Struts2(S2-053) 远程代码执行！

Posted 2021-04-28 新华三大安全

关于

Struts2

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器来建立模型与视图的数据交互。

漏 洞 描 述

  

2017年9月7日，Apache Struts发布最新的安全公告（S2-053），漏洞级别为中危，CVE编号为CVE-2017-12611。Apache Struts2 Freemarker标签如果被错误的配置和使用导致远程代码执行漏洞。

1.2.1.Apache Struts2远程代码执行漏洞S2-053 (CVE-2017-12611)

当使用表达式在Freemarker标签被错误的配置可能会导致RCE攻击。

<@s.hidden name="redirectUri" value=redirectUri />

<@s.hidden name="redirectUri" value="${redirectUri}" />

在这两种情况下，可写的value属性，会被Freemarker作为表达式处理，从而导致远程代码执行。

1.2.2 缓解措施

1. 由于2.5.12版本仍然受到近日的S2-052漏洞影响 ，建议直接升级到最新的2.5.13版本。

2. 不要在代码中使用易受攻击的结构，或者使用只读属性来初始化value属性（仅限getter属性）

1.2.3 虚拟补丁

新华三攻防团队正在跟进、开发相应规则，敬请关注特征库升级专区更新。

受影响

的版本

Struts 2.0.1 - Struts 2.3.33

Struts 2.5 - Struts 2.5.10

相关

链接

https://cwiki.apache.org/confluence/display/WW/S2-053

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13

声 明

本安全公告仅用来描述可能存在的安全问题，新华三集团不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，新华三集团以及安全公告作者不为此承担任何责任。新华三集团拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经新华三集团允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于新华三大安全

具备业界最全面的安全交付能力，可提供35类、近300款产品和专业的安全咨询评估服务团队，并且具备以客户为导向的需求快速响应能力，从底层信息安全基础设施到顶层设计为国家和企业提供安全可信的防护。