预警Apache Struts2远程代码执行高危漏洞(CVE-2018-11776) 安全漏洞 18年12月28日 编辑 aqzt 取消关注 关注 私信 释放双眼,带上耳机,听听看~! 2018年8月22日,安全专题监测到Apache官方发布了安全更新,披露了一个远程代码执行漏洞S2-057。 漏洞描述 定义XML配置namespace值为通配符(“/*”),或在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。 如下两种配置存在漏洞: <action name=”a1″> <result type=”redirectAction”> <param name=”actionName”>a2.action</param> </result> </action> 或: <action name=”help” namespace=”/*”> <result>/WEB-INF/help.jsp</result> </action> 参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057 官方评级 CVE-2018-11776:严重 影响范围 Struts 2.3 – Struts 2.3.34 Struts 2.5 – Struts 2.5.16 安全建议 升级至最新版本:升级至版本2.3.35或2.5.17 升级链接:https://struts.apache.org/download.cgi 我们会关注后续进展,请随时关注官方公告。 内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。 安全专题 2018.08.22 Related posts: 预警骑士CMS weixin connect 远程代码执行漏洞 预警Adobe ColdFusion 远程代码执行漏洞(CVE-2021-21087) 预警Oracle 发布2021年1月关键补丁更新,修复多个严重漏洞 预警Apache Skywalking GraphQL 注入与远程代码执行漏洞 给TA打赏 共{{data.count}}人 人已打赏 [db:标签]代码执行安全执行漏洞漏洞远程代码远程代码执行远程代码执行漏洞
