近期struts2 框架再現高危遠端命令執行漏洞,漏洞編號S2-045,CVE編號CVE-2017-5638。利用此漏洞可對使用了struts2框架的網站進行遠端命令執行,對伺服器造成威脅。請相關單位進行及時自檢,漏洞詳情及修補方案請及時關注官方公告。官方公告連結:https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0
漏洞詳情:
惡意使用者可在上傳檔案時通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行系統命令。
官方評級:
高危
漏洞影響範圍:
Struts2.3.5 - Struts 2.3.31
Struts2.5 - Struts 2.5.10
漏洞修復建議(或緩解措施):
建議您升級Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本
提醒:在升級前請做好備份。
官方下載地址:
Struts 2.3.32:https://dist.apache.org/repos/dist/release/struts/2.3.32/struts-2.3.32-all.zip
Struts 2.5.10.1:https://dist.apache.org/repos/dist/release/struts/2.5.10.1/struts-2.5.10.1-all.zip