漏洞预警|Apache Struts2 S2-057命令执行漏洞（CVE-2018-11776）

1.1漏洞描述

Apache 官网于2018年8月22日发布安全公告表明，Struts2由于配置不当可导致远程命令执行漏洞。建议使用相关版本的用户尽快采取对应措施。

1.2漏洞等级

高危                    

1.3影响版本

Struts 2.3 – Struts 2.3.34

Struts 2.5 – Struts 2.5.16

其它不受支持的Struts版本也可能受到影响

1.4整改建议

官方建议：升级至版本2.3.35或2.5.17

    临时解决方案：推荐用户及时更新，但如果不想更新，可暂时使用官方提供的临时解决方案：当上层动作配置中未设置或使用通配符namespace时，验证所有XML配置中的namespace，同时在JSP中验证所有url标签的value和action。

来源：CSPEC 立体防护

【关闭】 【打印】