Apache Struts 再曝高危远程代码执行漏洞,快升级!

栏目: IT资讯 · 发布时间: 6年前

内容简介:Semmle 安全研究员 Man Yue Mo 近日披露了一个存在于流行的 Apache Struts Web 应用框架中的远程执行代码漏洞,可能允许远程攻击者在受影响的服务器上执行恶意代码。 该漏洞编号为 CVE-2018-11776 ,被归类为高危...

Semmle 安全研究员 Man Yue Mo 近日披露了一个存在于流行的 Apache Struts Web 应用框架中的远程执行代码漏洞,可能允许远程攻击者在受影响的服务器上执行恶意代码。

该漏洞编号为 CVE-2018-11776 ,被归类为高危漏洞,是由于在某些配置下对 Struts 框架核心中用户提供的不可信输入的验证不充分而产生。它会在两种情况下容易被触发:

  • Struts 配置中的 alwaysSelectFullNamespace 标志设置为 true 。

  • Struts 配置文件包含 “action” 或 “url” 标记,该标记未指定可选的 namespace 属性或指定通配符命名空间。

Apache Struts 再曝高危远程代码执行漏洞,快升级!

据悉,使用 Apache Struts 2.3~2.3.34 和 2.5~2.5.16 版本,以及一些已经停止支持的 Struts 版本的所有应用都可能容易受此漏洞攻击,Apache Struts 团队在收到反馈后,已于前两天发布的 2.3.35 和 2.5.17 中进行了修复,并建议用户尽快升级。

这不是 Semmle 安全研究团队第一次报告 Apache Struts 的高危 RCE 漏洞。不到一年前,该团队披露了在 Apache Struts 中类似的远程执行代码漏洞(CVE-2017-9805)。


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机科学概论(第11版)

计算机科学概论(第11版)

J. Glenn Brookshear / 刘艺、肖成海、马小会、毛倩倩 / 人民邮电出版社 / 2011-10-1 / 69.00元

本书多年来一直深受世界各国高校师生的欢迎,是美国哈佛大学、麻省理工学院、普林斯顿大学、加州大学伯克利分校等许多著名大学的首选教材,对我国的高校教学也产生了广泛影响。 本 书以历史眼光,从发展的角度、当前的水平以及现阶段的研究方向等几个方面,全景式描绘了计算机科学各个子学科的主要领域。在内容编排上,本书很好地兼顾了 学科广度和主题深度,把握了最新的技术趋势。本书用算法、数据抽象等核心思想贯穿各......一起来看看 《计算机科学概论(第11版)》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具