本文最后更新于 2018年08月22日 19:21 可能会因为没有更新而失效。如已失效或需要修正,请留言!

st2又来了!POC:https://github.com/jas502n/St2-057

概述

定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。

url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。

 

官方解决方案

升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。

 

临时解决方案

推荐用户及时更新,但如果不想更新,可暂时使用官方提供的临时解决方案:当上层动作配置中未设置或使用通配符namespace时,验证所有XML配置中的namespace,同时在JSP中验证所有url标签的value和action。

影响范围 所有Struts2开发者及用户
漏洞影响 有可能会导致远程代码执行
最高安全风险 关键
推荐防护措施 更新至2.3.35或2.5.17
影响版本 Struts 2.3 – Struts 2.3.34, Struts 2.5 – Struts 2.5.16

其余版本也可能会受到影响

漏洞报告人 Man Yue Mo@Semmle Security Research team
CVE编号 CVE-2018-11776

 

CVSS v3

CVSS3 Base Score 9.8
CVSS3 Base Metrics CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Attack Vector Network
Attack Complexity Low
Privileges Required None
User Interaction None
Scope Unchanged
Confidentiality High
Integrity Impact High
Availability Impact High
喜欢这篇文章的话就点一点喜欢吧!