服务公告
Apache Struts 2 RCE漏洞(CVE-2018-11776/S2-057)安全预警
2018-08-22
一、概要
今日Apache官方公布一个Struts 2 RCE(远程代码执行)漏洞,在定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行;url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。目前官方已发布修复方案。
利用漏洞:CVE-2018-11776
参考链接:https://cwiki.apache.org/confluence/display/WW/S2-057
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
Struts 2.3 - Struts 2.3.34,Struts 2.5 - Struts 2.5.16确认受影响;
其余版本可能也受影响。
四、安全建议
官方解决方案:升级至版本2.3.35或2.5.17。
升级链接:https://struts.apache.org/download.cgi#struts2517
注意:修复漏洞前请将资料备份,并进行充分测试。
