记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Struts(S2-048)远程命令执行漏洞预警

2017-07-08 03:35

天融信.阿尔法实验室

一、CVE-2017-9791概要

 

1.1漏洞背景

ApacheStruts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。  

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插件的版本  

二、修复建议

 

2.1影响版本

Apache Struts 2.3.x系列中的Showcase应用

2.2漏洞检测 (检测是否存在漏洞的方法)

检查Struts2框架的版本号

2.3补丁地址

暂无补丁,请升级到最新版Struts2

2.4临时解决方案

2.4.1不启用struts2-struts1-plugin插件 2.4.2建议升级到最新版本2.5.10.1 2.4.3开发者通过使用resource keys替代将原始消息直接传递给ActionMessage的方式。 如下所示 messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName())); 一定不要使用如下的方式 messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));
知识来源: blog.topsec.com.cn/ad_lab/strutss2-048%e8%bf%9c%e7%a8%8b%e5%91%bd%e4%bb%a4%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e9%a2%84%e8%ad%a6/

阅读:167139 | 评论:0 | 标签:漏洞预警 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Struts(S2-048)远程命令执行漏洞预警”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云