阿里云首页>
安全公告
>
【漏洞预警】Apache Struts2远程代码执行高危漏洞(CVE-2018-11776)
【漏洞预警】Apache Struts2远程代码执行高危漏洞(CVE-2018-11776)
2018年8月22日,阿里云云盾应急响应中心监测到Apache官方发布了安全更新,披露了一个远程代码执行漏洞S2-057。
漏洞描述
定义XML配置namespace值为通配符(“/*”),或在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。
如下两种配置存在漏洞:
<action name="a1">
<result type="redirectAction">
<param name="actionName">a2.action</param>
</result>
</action>
或:
<action name="help" namespace="/*">
<result>/WEB-INF/help.jsp</result>
</action>
官方评级
CVE-2018-11776:严重
影响范围
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云云盾应急响应中心
2018.08.22