【漏洞预警】 S2-057远程代码执行

栏目: Struts · 发布时间: 6年前

内容简介:漏洞描述当namespace没有为基础xml配置中定义的结果设置值时,可以执行RCE攻击,同时,其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时,相同的可能性namespace。CVE编号CVE-2018-11776威胁等级高影响版本Struts 2.3 - Struts 2.3.34,Struts 2.5 - S...

漏洞描述当namespace没有为基础xml配置中定义的结果设置值时,可以执行RCE攻击,同时,其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时,相同的可能性namespace。CVE编号CVE-2018-11776威胁等级高影响版本Struts 2.3 - Struts 2.3.34,Struts 2.5 - S...

【漏洞预警】 S2-057远程代码执行

漏洞描述

当namespace没有为基础xml配置中定义的结果设置值时,可以执行RCE攻击,同时,其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时,相同的可能性namespace。

CVE编号

CVE-2018-11776

威胁等级

影响版本

Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16

修复建议

  1. 升级到Struts 2.3.35或Struts 2.5.17

  2. 临时解决方案:

验证您是否已namespace为基础xml配置中的所有已定义结果设置(并且始终不会忘记设置)(如果适用)。还要验证您是否已设置(并且始终不会忘记设置)value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。

相关链接:

https://cwiki.apache.org/confluence/display/WW/S2-057

文章版权归原作者所有,转载需取得作者本人同意 并注明出处:https://www.secfree.com/article-988.html


以上所述就是小编给大家介绍的《【漏洞预警】 S2-057远程代码执行》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Building Web Reputation Systems

Building Web Reputation Systems

Randy Farmer、Bryce Glass / Yahoo Press / 2010 / GBP 31.99

What do Amazon's product reviews, eBay's feedback score system, Slashdot's Karma System, and Xbox Live's Achievements have in common? They're all examples of successful reputation systems that enable ......一起来看看 《Building Web Reputation Systems》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

MD5 加密
MD5 加密

MD5 加密工具