【漏洞预警】S2-057远程代码执行

Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。

新漏洞刚被发现发布时,对很多企业网络来说可能是最危险的时刻,应对不及时而造成的危害可能是巨大的,特别是像Struts2 S2-057这样会搞死人的漏洞,显然黑客对他们的关注度比很多企业的安管人员要高的多。

S2-057远程代码执行

漏洞简介

当namespace没有为基础xml配置中定义的结果设置值时,可以执行RCE攻击,同时,其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时,相同的可能性namespace。

漏洞详情

l 危害等级:高危

l CVE编号:CVE-2018-5390

l 漏洞类型:远程代码执行

影响范围

Struts 2.3 - Struts 2.3.34

Struts 2.5 - Struts 2.5.16

处置建议

1.升级到Struts 2.3.35或Struts 2.5.17

2.临时解决方案:

验证您是否已namespace为基础xml配置中的所有已定义结果设置(并且始终不会忘记设置)(如果适用)。还要验证您是否已设置(并且始终不会忘记设置)value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。