产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
semmle 安全研究员 man yue mo 近日披露了一个存在于流行的 apache struts web 应用框架中的远程执行代码漏洞,可能允许远程攻击者在受影响的服务器上执行恶意代码。该漏洞编号为 cve-2018-11776 ,被归类为高危漏洞,是由于在某些配置下对 struts 框架核心中用户提供的不可信输入的验证不充分而产生。它会在两种情况下容易被触发:
struts 配置中的 alwaysselectfullnamespace 标志设置为 true 。
struts 配置文件包含 “action” 或 “url” 标记,该标记未指定可选的 namespace 属性或指定通配符命名空间。
据悉,使用 apache struts 2.3~2.3.34 和 2.5~2.5.16 版本,以及一些已经停止支持的 struts 版本的所有应用都可能容易受此漏洞攻击,apache struts 团队在收到反馈后,已于前两天发布的 2.3.35 和 2.5.17 中进行了修复,并建议用户尽快升级。
这不是 semmle 安全研究团队第一次报告 apache struts 的高危 rce 漏洞。不到一年前,该团队披露了在 apache struts 中类似的远程执行代码漏洞(cve-2017-9805)。
试用申请
