Struts2又双叒叕爆高危漏洞,远程代码执行存风险!
高危漏洞预警
2017年7月7日,ApacheStruts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在高危安全风险。
漏洞编号
CVE-2017-9791
漏洞名称
S2-048:Struts2 showcase远程代码执行漏洞
影响范围
使用 Struts 1 plugin 和Struts 1 action 的Struts 2.3.x
漏洞简介
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。在Struts 2.3.x 系列的Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞。当你的应用使用了Struts2 Struts1的插件时,可能导致不受信任的输入传入到ActionMessage类中导致命令执行。
应急修复方案
始终使用资源键,而不是将原始消息传递给ActionMessage,如下所示:
messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));
而不是这样:
messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));
安全防护措施
亚信安全服务器深度安全防护系统Deep Security已经更新,最新规则(7月8日凌晨发布)已经可以拦截该漏洞:
1008490 - Apache Struts2 Struts 1 PluginShowcase Remote Code Execution Vulnerability (CVE-2017-9791)
亚信安全深度发现设备TDA已经更新规则检测该漏洞,规则如下:
2449 - CVE-2017-9791_HTTP_APACHESTRUTS_EXPLOIT_NC_
行业热点: