漏洞发现时间:
2017-09-08
漏洞编号:
CVE-2017-12611
危险等级:
中危
受影响软件:
Struts 2.0.1 – Sturts 2.3.33
Struts 2.5 – Struts 2.5.10
漏洞描述:
Struts 2是美国Apache软件基金维护的一个开源项目,也是采用Java Web构建的网站系统常用的一款框架。Struts 2框架引入了OGNL表达式,OGNL表达式允许开发者使用标签方便地访问ActionContext等相关变量。
漏洞利用前提是需要开启debug模式。该漏洞是由于在处理Freemarker标签时,如果使用了不恰当的表达式常量或强制表达式时,可能会导致远程代码执行漏洞。
来源参考:
http://toutiao.secjia.com/struts2-cve-2017-12611-s2-053
专家建议:
升级到最新的2.5.13版本。
厂商补丁:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13