Struts2 又现高危漏洞,黑客分分钟可远程执行任意系统命令【紧急预警】

    由于该漏洞影响范围较广(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限。

这是什么意思?

黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

为什么说本次漏洞影响极大?

此前 s2-016 漏洞同样危害非常严重,多数站点已经打补丁,而本次漏洞在 s2-016 补丁后的版本均受影响。

最重要的一点是:漏洞利用无任何条件限制,可绕过绝大多数防护设备的通用防护策略!

目前,安恒的建议是,相关行业提前做好该严重漏洞的应急准备工作。更新至 Struts 2.3.32 或者 Struts 2.5.10.1 或使用第三方的防护设备进行防护。

  

本文作者:李勤

本文转自雷锋网禁止二次转载,原文链接

时间: 2025-01-19 21:11:49

Struts2 又现高危漏洞,黑客分分钟可远程执行任意系统命令【紧急预警】的相关文章

宝马,福特等多款品牌车辆TCUs存漏洞,可导致远程执行任意代码

本文讲的是宝马,福特等多款品牌车辆TCUs存漏洞,可导致远程执行任意代码,近日,三名安全研究人员发现了宝马,福特,英菲尼迪和日产等品牌车辆中使用的远程信息处理控制单元(TCUs)的安全漏洞. 这三名安全研究人员发现的是由大陆集团制造的远程信息处理控制单元(TCU)的安全漏洞.大陆集团总部位于德国汉诺威,世界第四大轮胎制造商,前身是创立于1871年的橡胶制造商,Continental-Caoutchouc und Gutta-Percha Compagnie. 这三名研究人员分别是来自McAfee

多家银行手机转账现高危漏洞 ,用户资金或被非法窃取

本文讲的是多家银行手机转账现高危漏洞 ,用户资金或被非法窃取,随着智能手机的普及和移动互联网的快速扩张,国内移动支付发展迅猛,各家银行纷纷推出手机银行产品.与此同时,安全问题也不断出现,钓鱼诈骗.信息泄露.资金盗取等问题一直困扰着从业者和用户. 最近,嘶吼收到工信部旗下泰尔终端实验室的安全报告<金融客户端也会存在高危漏洞>.泰尔终端实验室工程师近期针对基于安卓操作系统的多款手机银行APP安全性进行了较为全面的分析评测,涉及中国银行.中信银行.建设银行等国内多家大型商业银行.测评内容包括:通信安

打补丁总是拖延症,雅虎被发现存在Struts2“老旧”高危漏洞

本文讲的是打补丁总是拖延症,雅虎被发现存在Struts2"老旧"高危漏洞,我一直都认为分享精神是可贵的,我过去从很多安全领域大牛的漏洞报告中学到了很多知识,所以我决定将我找到的漏洞经历进行分享,希望能够帮助到一些刚刚开始挖洞的白帽子们. 就像之前爆出来的Struts2高危漏洞(CVE-2017–5638),由于攻击条件比较简单,导致了众多Web应用程序沦陷. 在该漏洞的exp爆出来三周之后,我在渗透过程中发现了这个链接: https://svdevems01.direct.gq1.ya

工控危险 施耐德PLC产品现高危漏洞

本文讲的是 工控危险 施耐德PLC产品现高危漏洞,施耐德电气公司开始发布固件补丁处理影响该公司莫迪康(Modicon)M340可编程逻辑控制器(PLC)产品线的高严重性漏洞. 工业控制系统网络应急相应小组(ICS-CERT)和施耐德电气公司发布的报告显示:该漏洞是一个缓冲区溢出漏洞(CVE-2015-7937),影响下列莫迪康M340产品: BMXNOC0401BMXNOE0100BMXNOE0100HBMXNOE0110BMXNOE0110HBMXNOR0200BMXNOR0200HBMXP3

Allaire JRUN 2.3远程执行任意命令漏洞

JRun 涉及程序: JRUN 描述: Allaire JRUN 2.3远程执行任意命令漏洞 详细: Allaire 的 JRUN 服务器 2.3上存在一个安全漏洞,允许远程用户把在 WEB 服务器上的任意文件作为JSP代码编译/执行. 如果URL请求的目标文件使用了前缀"/servlet/",则JSP解释执行功能被激活.这时在用户请求的目标文件路径中使用"../",就有可能访问到 WEB 服务器上根目录以外的文件.在目标主机上利用该漏洞请求用户输入产生的一个文件,

Struts2再爆高危漏洞 国内多个行业网站受影响

近日,安全研究人员发现著名J2EE框架--Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045),并定级为高危漏洞. 因为Apache Struts2是一种国内使用非常广泛的Web应用开发框架,被大量的政府.金融以及大中型互联网公司所使用.并且,对于此漏洞的利用代码已经扩散,对网站安全构成非常高的现实威胁. 漏洞描述 该漏洞是Apache strut2 最新的一个漏洞,CVE编号CVE-2017-5638.(基于 Jakarta plugin插件的Struts远程

OpenSSL 现高危漏洞,心脏又要大出血?

还记得那个因为"心脏出血"而一夜成名的OpenSSL协议吗?它又有漏洞了.一组负责为加密协议OpenSSL做技术支持的开发人员,发现了一个新的神秘"高危"漏洞.OpenSSL是诸如Apache和Nginx这样的开源网络服务器所使用的安全协议,这些网站占到世界上所有网站的66%.当2014年一个代号为Heartbleed的巨大安全漏洞被发现时,全世界都知道了这种少有人知的后台技术. Heartbleed很危险,因为黑客可以利用OpenSSL,通过网站和服务器窃取数据,

MySQL现高危漏洞,可致服务器root权限被窃取

上周,一位名叫Dawid Golunski的波兰黑客发现了存在于MySQL中的漏洞:一个远程root代码执行漏洞和一个权限提升漏洞.当时,Golunski只提供了第一个漏洞的poc,但是承诺之后会透露第二个漏洞(CVE-2016-6663)的更多细节. 本周二,Golunski公布了针对两个漏洞的PoC:第一个PoC针对的是之前的高危权限提升漏洞,而另一个PoC针对的则是一个新的root权限提升漏洞,利用这个漏洞,攻击者能够获取到整个数据库的权限. 漏洞编号 CVE-2016-6663 CVE-

Twitter存在高危漏洞 黑客能获取Vine的全部源代码

7月25日讯Twitter存在高危漏洞,攻击者能从服务器下载Vine(Vine是微软公司开发基于地理位置的SNS系统)全部源代码,此后Twitter花5分钟时间修复了该漏洞. 安全研究员Avicoder发现这个漏洞,并于3月31日向Twitter反映情况.漏洞的核心在于Twitter员工使用不安全的Docker设置管理Vine的内容. 联网Docker安装泄露Vine源代码 Docker是管理服务器镜像.创建.输送和管理应用程序的开放式平台.Docker可用来配置笔记本电脑.虚拟机或云服务等的O