st2又来了!POC:https://github.com/jas502n/St2-057
概述
定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。
url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。
官方解决方案
升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。
临时解决方案
推荐用户及时更新,但如果不想更新,可暂时使用官方提供的临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。
影响范围 | 所有Struts2开发者及用户 |
---|---|
漏洞影响 | 有可能会导致远程代码执行 |
最高安全风险 | 关键 |
推荐防护措施 | 更新至2.3.35或2.5.17 |
影响版本 | Struts 2.3 – Struts 2.3.34, Struts 2.5 – Struts 2.5.16
其余版本也可能会受到影响 |
漏洞报告人 | Man Yue [email protected] Security Research team |
CVE编号 | CVE-2018-11776 |
CVSS v3
CVSS3 Base Score | 9.8 |
---|---|
CVSS3 Base Metrics | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Attack Vector | Network |
Attack Complexity | Low |
Privileges Required | None |
User Interaction | None |
Scope | Unchanged |
Confidentiality | High |
Integrity Impact | High |
Availability Impact | High |
原创文章,作者:Y4er,未经授权禁止转载!如若转载,请联系作者:Y4er