Apache Struts2远程代码执行高危漏洞（S2-057）

“2018年8月22日，Apache官方发布了安全升级，披露了一个远程代码执行漏洞S2-057...”

—

漏洞介绍

漏洞编号：

CVE-2018-11776

漏洞名称：

Apache Struts2远程代码执行高危漏洞

危险等级：

高

漏洞形容：

定义XML配置namespace值为通配符(“/*”)，或者在上层action中namespace值缺省时可能会导致web应用远程代码执行漏洞。

如下两种配置存在漏洞：

a2.action

或者：

/WEB-INF/help.jsp

利用条件和方式：

通过Poc直接远程利用。

Poc能否已公开：

否

影响范围：

Struts 2.3 - Struts 2.3.34

Struts 2.5 - Struts 2.5.16

自查方法：

检查能否使用了受影响的版本。

修复建议(或者缓解措施)：

更新至最新版本：2.3.35或者2.5.17

更新链接：https://struts.apache.org/download.cgi