阿里云首页> 安全公告> 【漏洞预警】Apache Struts2远程代码执行高危漏洞(CVE-2018-11776)

【漏洞预警】Apache Struts2远程代码执行高危漏洞(CVE-2018-11776)

2018年8月22日,阿里云云盾应急响应中心监测到Apache官方发布了安全更新,披露了一个远程代码执行漏洞S2-057。

 

漏洞描述
定义XML配置namespace值为通配符(“/*”),或在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。


如下两种配置存在漏洞:
<action name="a1">
      <result type="redirectAction">
        <param name="actionName">a2.action</param>
      </result>
 </action>

或:
<action name="help" namespace="/*">
  <result>/WEB-INF/help.jsp</result>
</action>

参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057

 

官方评级
CVE-2018-11776:严重

 

影响范围
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16

 

安全建议
升级至最新版本:升级至版本2.3.35或2.5.17
升级链接:https://struts.apache.org/download.cgi 

 

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心
2018.08.22