【破绽预警】Apache Struts2 S2-057近程代码实行破绽

2018-08-27 00:00:00 0

克日,Apache Struts公布最新平安通告,当运用没有namespace的results设置, 同时其上一层的action设置也没有namespace大概通配符时;大概当action设置内里运用了url tag,但并没无为其赋值时,皆有可能会引发近程代码实行破绽(S2-057),破绽编号CVE-2018-11776。-2138acom太阳集团

澳门太阳集团2006


破绽编号: 
CVE-2018-11776

破绽称号:
S2-057:Apache Struts2近程代码实行破绽

破绽简介:
若是出无为正在底层xml设置中界说的效果设置namespace,同时当运用namespace的results设置且上一层的action设置也出偶然,可能会引发近程代码实行破绽。

影响局限:
Struts 2.3 - Struts 2.3.34, Struts 2.5 - Struts 2.5.16

风险级别:
高危

修复计划:
晋级至Apache Struts2 版本2.3.35大概 2.5.17;

亚疑平安解决方案
亚疑平安深度发明装备TDA曾经能够检测该破绽,划定规矩以下:
2726: CVE-2018-11776 - APACHE STRUTS RCE EXPLOIT - HTTP(Request)