Apache Struts 2-046遠程代碼執行漏洞

(作者: 文章來源:CNVD 發布日期:2017-03-21 瀏覽數:)

CNVD-ID

CNVD-2017-02880

發布時間

2017-03-21

危害級別

高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)

影響產品

Apache struts >=2.3.5,<=2.3.31
Apache struts >=2.5,<=2.5.10
 

漏洞描述

Apache Struts是一款用于創建企業級Java Web應用的開源框架。 

Apache Struts 2存在046遠程代碼執行漏洞,攻擊者在使用Jakarta插件處理文件上傳操作時可能導致遠程代碼執行漏洞。
 

漏洞類型

通用軟硬件漏洞

URL

 

參考鏈接

https://struts.apache.org/docs/s2-046.html 
https://github.com/pwntester/S2-046-PoC
 

漏洞解決方案

Apache Struts官方已在發布的新的版本中修復了該漏洞。建議使用Jakarta based file upload Multipart parser模塊的用戶升級到 Apache Struts version 2.3.32 or 2.5.10.1: 
https://struts.apache.org/docs/s2-046.html
 

漏洞發現者

Chris Frohoff, Nike Zheng, Alvaro Munoz

廠商補丁

Apache Struts 2-046遠程代碼執行漏洞的補丁

驗證信息

已驗證

報送時間

2017-03-21

收錄時間

2017-03-21

更新時間

2017-03-21

漏洞附件

(無附件)

    在發布漏洞公告信息之前,CNVD都力爭保證每條公告的準確性和可靠性。然而,采納和實施公告中的建議則完全由用戶自己決定,其可能引起的問題和結果也完全由用戶承擔。是否采納我們的建議取決于您個人或您企業的決策,您應考慮其內容是否符合您個人或您企業的安全策略和流程。

168彩票网