truts2 漏洞

truts2 漏洞
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
关于Apache Struts2（S2-045）漏洞情况的通报 CNNVD认证厂商2017-03-07共1425438人围观 ，发现 12 个不明物体 漏洞
近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts2 （S2-045）远程代码执行漏洞（CNNVD-201703-152）的情况报送。由于该漏洞影响范围广，危害级别高，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：

一、 漏洞简介
Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web 应用的开源MVC框架，主要提供两个版本框架产品： Struts 1和Struts 2。

ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞（CNNVD-201703-152 ，CVE-2017-5638）。该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包，利用该漏洞在受影响服务器上执行任意命令。

二、 漏洞危害
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令，进一步可完全控制该服务器，造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件（如开启dmi ，debug等功能）以及启用任何插件，因此漏洞危害较为严重。

三、 修复措施
目前，Apache官方已针对该漏洞发布安全公告。请受影响用户及时检查是否受该漏洞影响。

自查方式
用户可查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar 文件，如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞。

升级修复
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除漏洞影响。

临时缓解
如用户不方便升级，可采取如下临时解决方案：

l 删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。

*本文作者：CNNVD，本通报由CNNVD技术支撑单位杭州安恒信息技术有限公司提供支持，转载请注明来自FreeBuf.COM

CNNVD
CNNVD
49 篇文章
等级： 6级
||
上一篇：【漏洞预警】Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)下一篇：看我如何发现Facebook注册用户手机号码
这些评论亮了

酱油君 回复
删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。 我表示测试环境删掉后网站都打不开了。
)10(亮了

自律 (5级)回复
535114467，群文件里面已经有exp了,poc也出了 大佬们过来搞事
)9(亮了

z7y 回复
485189581，群文件里面已经有exp了,poc也出了 大佬们过来搞事
)9(亮了

呵呵 回复
瞎说，删除jar，网站都挂了
)9(亮了
发表评论已有 12 条评论

fake 2017-03-07回复 1楼
已通杀

亮了(3)

自律 (5级) 2017-03-07回复 2楼
535114467，群文件里面已经有exp了,poc也出了 大佬们过来搞事

亮了(9)

15705427150 (1级) 我要找工作 2017-03-07回复 3楼
一大批网站正在沦陷中

亮了(4)

酱油君 2017-03-07回复 4楼
删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。 我表示测试环境删掉后网站都打不开了。

亮了(10)

test 2017-03-07回复 5楼
本通报由CNNVD技术支撑单位杭州安恒信息技术有限公司提供支持

我表示安恒是卧底

亮了(4)

z7y 2017-03-07回复 6楼
485189581，群文件里面已经有exp了,poc也出了 大佬们过来搞事

亮了(9)

呵呵 2017-03-08回复 7楼
瞎说，删除jar，网站都挂了

亮了(9)

和谐 2017-03-08回复 8楼
官网是找不到这两个版本的，Apache Struts 2.3.32 或 Apache Struts 2.5.10.1。此漏洞报告者其实就是安恒的。

亮了(4)

采飞扬 2017-03-08回复 9楼
最新Apache Struts2 2.3.32所有jar包 https://my.oschina.net/liuyes/blog/853957

亮了(1)

hackbs (2级) 2017-03-08回复 10楼
又是一波Struts2,又要进去一波人。

亮了(4)

zrlyou (1级) 2017-03-09回复 11楼
一大波gov网站GG啦～

亮了(0)

hello world 2017-03-10回复 12楼
想要qq个人信息的加我qq号 100001

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
CNNVD
CNNVD认证厂商

中国国家信息安全漏洞库官方账号

49
文章数
2
评论数
最近文章
CNNVD关于macOS和iOS内核漏洞情况的通报
2018.11.01

CNNVD关于Oracle WebLogic Server远程代码执行漏洞的通报
2018.10.17

CNNVD关于Apache Struts2 S2-057安全漏洞情况的通报
2018.08.23

浏览更多
相关阅读
通杀Windows的Badlock是啥？该如何修复？安全研究员发现Instagram漏洞，遭FaceBook高管威胁雅虎邮箱XSS漏洞细节分析揭开国外僵尸网络IPK的神秘面纱CVE-2016-5696漏洞分析：TCP侧信道安全
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank