全部产品
Search
文档中心

【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞

更新时间: 2018-05-10

2017年7月7日,Apache Struts发布最新的安全公告,公布了CVE编号为CVE-2017-9791的漏洞。该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,攻击者可构建不可信的输入实现远程命令攻击,带来安全风险。

漏洞详情见下文。


漏洞编号

CVE-2017-9791

漏洞名称

Struts(S2-048)远程命令执行漏洞

官方评级

高危

漏洞描述

Showcase应用ActionMessage类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。

漏洞利用条件和方式

远程利用

漏洞影响范围

Struts 2.3.x系列中的Showcase应用

漏洞检测

自查Struts框架版本。

漏洞修复建议(或缓解措施)

阿里云上用户可以选用以下方式避免此漏洞对业务造成的损害:

  • 根据业务情况,禁用/关闭/删除 \struts-2.3.x\apps\struts2-showcase.war包。

  • 建议您升级到最新版本2.5.10.1。

  • 使用阿里云云盾态势感知检测该漏洞,并通过阿里云云盾WAF进行防护。

情报来源

Apache Sturts官方安全公告:https://cwiki.apache.org/confluence/display/WW/S2-048