【漏洞通告】Struts2远程代码执行(S2-057)

漏洞描述

定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。

url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。

漏洞概述

漏洞类型: 远程代码执行

危险等级: 高危

受影响版本: Struts 2.3 – Struts 2.3.34,Struts 2.5 – Struts 2.5.16

漏洞编号

CVE-2018-11776

修复建议

升级到Apache Struts版本2.3.35或2.5.17。

临时解决方案

官方提供的临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-057