漏洞預警｜Struts2 S2-057遠程代碼執行漏洞 - 中新網安

漏洞預警｜Struts2 S2-057遠程代碼執行漏洞

2018年8月22日，Struts2官方公布最新的Struts2遠程代碼執行漏洞S2-057，在一定條件下，該漏洞允許攻擊者遠程執行代碼，存在高危風險。

Struts2是一個基于MVC設計模式的Web應用框架，它本質上相當于一個 servlet，在MVC設計模式中，Struts2作為控制器(Controller)來建立模型與視圖的數據交互。

【漏洞編號】：CVE-2018-11776

【漏洞名稱】：Struts2 S2-057遠程代碼執行漏洞

【漏洞描述】：

Struts2 中存在遠程代碼執行漏洞，當上層操作配置沒有namespace或通配符配置namespace時，如果基礎xml配置中未設置namespace值或者使用沒有value和action設置的url標簽，可能導致遠程代碼執行。

【風險等級】：高危

【影響版本】

Struts2.3 - Struts2.3.34

Struts2.5 - Struts2.5.16

【應對措施】：升級struts2 2.3.35或者struts2 2.5.17

【官方公告】：

https://cwiki.apache.org/confluence/display/WW/S2-057