Struts2远程代码执行漏洞(S2-053)

2017-09-11 17:47:35 来源:qs

漏洞发现时间:

2017-09-08

漏洞编号:

CVE-2017-12611

危险等级:

中危

受影响软件:

Struts 2.0.1 – Sturts 2.3.33

Struts 2.5 – Struts 2.5.10

漏洞描述:

      Struts 2是美国Apache软件基金维护的一个开源项目,也是采用Java Web构建的网站系统常用的一款框架。Struts 2框架引入了OGNL表达式,OGNL表达式允许开发者使用标签方便地访问ActionContext等相关变量。

  漏洞利用前提是需要开启debug模式。该漏洞是由于在处理Freemarker标签时,如果使用了不恰当的表达式常量或强制表达式时,可能会导致远程代码执行漏洞。

来源参考:

http://toutiao.secjia.com/struts2-cve-2017-12611-s2-053

专家建议:

升级到最新的2.5.13版本。

厂商补丁:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.13


上一条WordPress Easy Modal插件SQL注入漏洞 返回列表 Web框架中的Cisco Unity Connection输下一条
回到首页 产品服务 解决方案 新闻中心 到顶部