Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。
新漏洞刚被发现发布时,对很多企业网络来说可能是最危险的时刻,应对不及时而造成的危害可能是巨大的,特别是像Struts2 S2-057这样会搞死人的漏洞,显然黑客对他们的关注度比很多企业的安管人员要高的多。
S2-057远程代码执行
漏洞简介
当namespace没有为基础xml配置中定义的结果设置值时,可以执行RCE攻击,同时,其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时,相同的可能性namespace。
漏洞详情
l 危害等级:高危
l CVE编号:CVE-2018-5390
l 漏洞类型:远程代码执行
影响范围
Struts 2.3 - Struts 2.3.34
Struts 2.5 - Struts 2.5.16
处置建议
1.升级到Struts 2.3.35或Struts 2.5.17
2.临时解决方案:
验证您是否已namespace为基础xml配置中的所有已定义结果设置(并且始终不会忘记设置)(如果适用)。还要验证您是否已设置(并且始终不会忘记设置)value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。
