绿盟云

Struts2 远程代码执行漏洞

发布日期 2018-08-23

返回绿盟云官网

共有个网站提交检测，其中有个网站存在漏洞

不支持输入域名，请按照输入框提示格式输入。

受影响的版本
Struts version 2.3 - 2.3.34
Struts version 2.5 - 2.5.16
不受影响的版本
Struts version 2.3.35
Struts version 2.5.17
综述
北京时间8月22日13时，Apache官方发布通告公布了Struts2中一个远程代码执行漏洞（CVE-2018-11776）。该漏洞在两种情况下存在，第一，在xml配置中未设置namespace值，且上层动作配置（upper action(s) configurations）中未设置或用通配符namespace值。第二，使用未设置 value和action值的url标签，且上层动作配置（upper action(s) configurations）中未设置或用通配符namespace值。
详细信息可参考：https://cwiki.apache.org/confluence/display/WW/S2-057
解决方案
官方已在最新版本中修复了此漏洞，请用户尽快将struts升级至官方修复版本，2.3.*的用户需升级至2.3.35；2.5.*的用户需升级至2.5.17。开发人员可通过配置Maven或Gradle的方式对应用升级并编译发布，也可手动下载最新Struts框架进行替换。
Maven配置
```

<dependency>
    <groupId>org.apache.struts</groupId>
    <artifactId>struts2-core</artifactId>
    <version>2.5.17</version>
</dependency>
                
```
Gradle配置
```
// https://mvnrepository.com/artifact/org.apache.struts/struts2-core
compile group: 'org.apache.struts', name: 'struts2-core', version: '2.5.17'
                
```
官方下载链接：
Struts2.3.35 http://mirrors.hust.edu.cn/apache/struts/2.3.35/struts-2.3.35-all.zip
Struts2.5.17 http://mirrors.hust.edu.cn/apache/struts/2.5.17/struts-2.5.17-all.zip
临时解决建议：
排查所有Struts 2的配置文件，如struts.xml，为没有定义namespace命名空间的package节点添加命名空间配置。
```
<package name="user" namespace="/user" extends="struts-default">
    <action name="login">
    </action>
</package>
                
```

立即检测