【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞

了解更多技术文章请点击原文链接

2017年7月7日，Apache Struts发布最新的安全公告，漏洞编号为S2-048，该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中，通过构建不可信的输入实现远程命令攻击，存在安全风险。

具体详情如下:漏洞编号:

CVE-2017-9791

漏洞名称:

Struts(S2-048)远程命令执行漏洞

官方评级:

高危

漏洞描述:

Showcase插件ActionMessage类中，通过构建不可信的输入实现远程命令攻击，存在安全风险。

漏洞利用条件和方式:

远程利用

漏洞影响范围:

Struts 2.3.x系列中的Showcase插件

漏洞检测:

自查Struts框架版本

漏洞修复建议(或缓解措施):

根据业务情况，禁用关闭(删除) \struts-2.3.x\apps\struts2-showcase.war包

建议升级到最新版本2.5.10.1

阿里云云盾态势感知已经支持检测

阿里云云盾WAF默认支持防御，可以选用WAF防护

情报来源:

Apache Sturts官方安全公告:HTTPS://cwiki.apache.org/confluence/display/WW/S2-048

了解更多技术文章请点击原文链接