内容简介:Semmle 安全研究员 Man Yue Mo 近日该漏洞编号为 CVE-2018-11776 ,被归类为高危漏洞,是由于在某些配置下对 Struts 框架核心中用户提供的不可信输入的验证不充分而产生。它会在两种情况下容易被触发:
Semmle 安全研究员 Man Yue Mo 近日 披露 了一个存在于流行的 Apache Struts Web 应用框架中的远程执行代码漏洞,可能允许远程攻击者在受影响的服务器上执行恶意代码。
该漏洞编号为 CVE-2018-11776 ,被归类为高危漏洞,是由于在某些配置下对 Struts 框架核心中用户提供的不可信输入的验证不充分而产生。它会在两种情况下容易被触发:
-
Struts 配置中的 alwaysSelectFullNamespace 标志设置为 true 。
-
Struts 配置文件包含 “action” 或 “url” 标记,该标记未指定可选的 namespace 属性或指定通配符命名空间。
据悉,使用 Apache Struts 2.3~2.3.34 和 2.5~2.5.16 版本,以及一些已经停止支持的 Struts 版本的所有应用都可能容易受此漏洞攻击,Apache Struts 团队在收到反馈后,已于前两天发布的 2.3.35 和 2.5.17 中进行了修复,并建议用户尽快升级。
这不是 Semmle 安全研究团队第一次报告 Apache Struts 的高危 RCE 漏洞。不到一年前,该团队披露了在 Apache Struts 中类似的远程执行代码漏洞(CVE-2017-9805)。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- WinRAR 代码执行漏洞复现
- struts2远程代码执行漏洞
- 【漏洞预警】 S2-057远程代码执行
- EKG Gadu 本地代码执行漏洞
- Gogs 远程命令执行漏洞分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
新媒体运营实战技能
张向南 勾俊伟 / 人民邮电出版社 / 2017-5 / 39.80元
《新媒体运营实战技能》共7章。第1章重点介绍了新媒体图片的创意思路及制作技巧,包括微信公众号封面图、信息长图、icon图标、九宫图、gif图片的具体实战操作;第2章重点介绍了创意云文字、微信排版、滑动看图等新媒体文字的排版方法与处理技巧;第3章是新媒体表单,引导读者对表单结构、设计场景及具体应用全面了解;第4章关于H5的创意思路及制作方法,解析了引发H5传播的心理因素,并重点介绍H5的制作工具与具......一起来看看 《新媒体运营实战技能》 这本书的介绍吧!
