Struts 2 再曝远程代码执行漏洞

今年4月份,Apache Struts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。

悲剧的事情今天又再度发生了,这次发现的Struts 2新漏洞编号为CVE-2016-4438,该漏洞由国内PKAV团队-香草率先发现。这是又一个很严重的远程代码执行漏洞:使用REST插件的用户就会遭遇该问题。

有关该漏洞的详情如下:

Apache Struts 2 S2-037 远程代码执行

漏洞编号:CVE-2016-4438

漏洞危害:造成远程代码执行

漏洞等级:高危

影响版本:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用户

修复方案:加入cleanupActionName进行过滤 或者 更新至官方struts2.3.29

FreeBuf百科:Struts 2

Apache Struts 2是世界上最流行的Java Web服务器框架之一,是Struts的换代产品:在Struts 1和WebWork的技术基础上,进行合并产生全新的Struts 2框架。Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制处理用户的请求,这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-10-03 16:11:34

Struts 2 再曝远程代码执行漏洞的相关文章

Struts2再爆远程代码执行漏洞CVE-2017-12611 S2-053 还是升级到最新版本吧

9月5日, Struts2远程代码执行漏洞CVE-2017-9805 s2-052 的事情刚搞完,7日Apache官方再出通告,又公告了一个远程代码执行漏洞CVE-2017-12611(S2-053),绿盟科技随即发布威胁预警通告,通告全文如下 Apache Struts2( S2-053 )远程代码执行漏洞威胁预警通告 2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2 存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053

PayPal曝远程代码执行漏洞(含视频)

日前知名在线支付公司PayPal被曝存在严重的远程代码执行漏洞,攻击者可以利用该漏洞在PayPal的web应用服务器上执行恶意命令,最终获得服务器控制权限. 漏洞描述 这个远程代码执行漏洞由独立安全研究员Milan A Solanki发现,被Vulnerability Lab评为严重,通用漏洞评分系统(CVSS)分数达到了9.3,漏洞影响了PayPal的在线营销web应用服务器. 该漏洞存在于服务器中的Java调试线协议(Java Debug Wire Protocol, JDWP),攻击者可以

IIS 6.0曝远程代码执行漏洞 安全狗可拦截

IIS 6.0 被曝出远程 0day,目前已经出现远程利用代码,针对 windows server 2003可以稳定利用,可以远程执行任意代码. 据报告称去年七月起就有攻击者开始利用.建议大家通过扫描检查相关业务系统,并增加 waf 规则或禁用 webdav 特性. 漏洞描述:微软方面也已经确认了该漏洞:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以"If:由于开启WebDAV服务就

绿盟科技网络安全威胁周报2017.27 关注Apache Struts远程代码执行漏洞CVE-2017-9791

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-26,绿盟科技漏洞库本周新增46条,其中高危9条.本次周报建议大家关注 Apache Struts远程代码执行漏洞 .目前厂商已经为此发布了一个 安全公告 (S2-048)以及相应补丁,请用户及时下载更新. 焦点漏洞 Apache Struts远程代码执行漏洞 NSFOCUS ID  37074 CVE ID  CVE-2017-9791 受影响版本 Apache Struts Version:2.3.x 漏洞点评 Apache Stru

微软被曝 Windows 最新远程代码执行漏洞:极其糟糕!现漏洞详情已发布

 雷锋网(公众号:雷锋网)消息,众所周知,谷歌内部有一个超级黑客团队--"Project Zero",据 securityaffairs 5月8日报道,谷歌 Project Zero 的研究员在微软 Windows OS 中发现了一个远程代码执行漏洞(RCE),但是这并非简单的 RCE,他们把它定性为"近期最糟糕的 Windows RCE". 上周末,Project Zero 的研究员 Tavis Ormandy 和 Natalie Silvanovich 在社交网

绿盟科技网络安全威胁周报2017.10 请关注Struts2远程代码执行漏洞CVE-2017-5638

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-10,绿盟科技漏洞库本周新增32条,其中高危1条.本次周报建议大家关注 Struts2 远程代码执行漏洞 CVE-2017-5638 .攻击者通过恶意的Content-Type值,可导致远程代码执行.目前,Apache官方已针对该漏洞已经发布安全公告和补丁.请受影响用户及时检查升级,修复漏洞. 焦点漏洞 Struts2 远程代码执行漏洞 NSFOCUS ID 36031 CVE ID CVE-2017-5638 受影响版本 Struts

思科在Chrome和火狐浏览器上的WebEx扩展 有远程代码执行漏洞CVE-2017-6753

思科 WebEx 扩展再曝严重的远程代码执行漏洞 , 今年再曝严重的远程代码执行漏洞(CVE-2017-6753),这是本年度第二次发现该扩展存在漏洞.攻击者可利用该漏洞在目标机器上以受影响浏览器权限远程执行恶意代码. 思科WebEx扩展远程代码执行漏洞CVE-2017-6753 思科发布的安全通告中 这样描述该漏洞 : " 思科用于 Google Chrome 和 Mozilla Firefox 浏览的 WebEx 扩展存在漏洞 , 允许远程未认证攻击者以受影响浏览器权限在受影响系统中执行任意

Apache Struts2远程代码执行漏洞S2-048 CVE-2017-9791 分析和防护方案

今天,Apache Struts官方发布公告,漏洞编号为S2-048 CVE-2017-9791,公告称Struts2和Struts1中的一个Showcase插件可能导致远程代码执行,并评价为高危漏洞. 绿盟科技发布分析和防护方案,其中开放了在线检测工具 https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?page_id=12 通告全文如下 Apache Struts2远程代码执行漏洞S2-048 CVE-2017-

深度剖析Struts2远程代码执行漏洞

本文讲的是深度剖析Struts2远程代码执行漏洞, 三月初,安全研究人员发现世界上最流行的JavaWeb服务器框架之一– Apache Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-046,CVE编号为:CVE-2017-5638)风险等级为高危漏洞. 漏洞描述 该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改HTTP请求头中的Content-Type值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令