新闻快讯
< >

新版发布:Struts2 S2-057远程代码执行漏洞预警V2.0

漏洞安全公告

Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。 2018年8月22日,Struts官方公开了漏洞S2-057,详情如下:

漏洞名称

Apache Struts2 远程代码执行漏洞S2-057

公开日期

2018-08-22

漏洞等级

紧急

漏洞描述

1:定义xml配置时namespace 值未设置,并且上层动作未配置或通配namespace时,可能产生远程代码执行漏洞。

2:URL标签未设置value和action值,并且其上层动作未配置或通配namespace时,可能产生远程代码执行漏洞。

CVE ID

CVE-2018-11776

影响版本

Struts2.3-2.3.34

Struts2.5-2.5.16

不受影响版本

Struts2.3.35

Struts2.5.17

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-057

漏洞检测

产品检测

2018年8月23日安恒信息对于S2-057做了紧急响应,所有涉及Web漏洞检测产品均已更新检测规则,使用安恒信息明鉴Web应用弱点扫描器、明鉴网站安全监测平台、明鉴远程安全评估系统、明鉴等级保护工具箱的用户都可以通过升级规则库进行漏洞检测。

    新版发布:Struts2 S2-057远程代码执行漏洞预警V2.0 -E安全                       

免费快速检测

1.重大漏洞在线检测系统

安恒信息对于重大漏洞还提供了在线免费检测系统,旨在用户可以方便快速检测自身应用是否存在相关安全威胁,通过访问http://0day.websaas.com.cn/输入被检测系统目标地址即可一键免费快速检测。

新版发布:Struts2 S2-057远程代码执行漏洞预警V2.0 -E安全


2.Struts2漏洞检查工具

对于应用系统处于内网又暂未购买安恒检测产品的用户还可以向安恒信息官方客服或致电400-6059-110索取最新Struts2漏洞检查工具,该工具集成了Struts2多个漏洞检测规则,并可批量验证检测。

新版发布:Struts2 S2-057远程代码执行漏洞预警V2.0 -E安全