漏洞概述
攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞验证脚本尚未公开,厂商已发布升级版本修复此漏洞。
漏洞编号
CVE-2018-11776
漏洞等级
高危
受影响版本
目前,漏洞影响的产品版本包括但不限于:
Struts 2.3-2.3.34
Struts 2.5-2.5.16
解决方案
目前,Apache公司已发布了新版本(Struts 2.3.35或Struts 2.5.17)修复了该漏洞,建议用户及时升级最新版本:
https://cwiki.apache.org/confluence/display/WW/S2-057
暂无法及时更新的用户,可采用如下临时解决方案:
当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action,确保上述namespace、value和action值均不可控。
参考链接
https://cwiki.apache.org/confluence/display/WW/S2-057