如何進(jìn)行Apache Struts2 S2-057漏洞分析

發(fā)布時(shí)間：2021-12-28 15:05:18 來源：億速云閱讀：180 作者：柒染欄目：大數(shù)據(jù)

今天就跟大家聊聊有關(guān)如何進(jìn)行Apache Struts2 S2-057漏洞分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

如果未為基礎(chǔ)xml配置中定義的結(jié)果設(shè)置命名空間值，同時(shí)其上層操作配置沒有命名空間或通配符命名空間，則可能執(zhí)行RCE攻擊。同樣的可能性是，當(dāng)使用url標(biāo)記時(shí)，它沒有值和操作集，同時(shí)，它的上層操作配置沒有或沒有通配符命名空間。------ApacheStruts2團(tuán)隊(duì)

2018年8月23日，Apache Strust2發(fā)布最新安全公告，Apache Struts2 存在遠(yuǎn)程代碼執(zhí)行的高危漏洞，該漏洞由Semmle Security Research team的安全研究員匯報(bào)，漏洞編號為CVE-2018-11776（S2-057）。Struts2在XML配置中如果namespace值未設(shè)置且（Action Configuration）中未設(shè)置或用通配符namespace時(shí)可能會(huì)導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

0x01漏洞影響面

影響面

確定CVE-2018-11776為高危漏洞。實(shí)際場景中存在一定局限性，需要滿足一定條件。

影響版本

Struts 2.3 to 2.3.34

Struts 2.5 to 2.5.16

修復(fù)版本

Struts 2.3.35 Struts 2.5.17

0x02 漏洞驗(yàn)證

如何進(jìn)行Apache Struts2 S2-057漏洞分析

傳入OGNL表達(dá)式${2333+2333}

如何進(jìn)行Apache Struts2 S2-057漏洞分析

成功帶入執(zhí)行函數(shù)，并執(zhí)行

如何進(jìn)行Apache Struts2 S2-057漏洞分析

返回結(jié)果至URL

0x03 修復(fù)建議

官方建議升級Struts到2.3.35版本或2.5.17版本

該版本更新不存在兼容性問題

看完上述內(nèi)容，你們對如何進(jìn)行Apache Struts2 S2-057漏洞分析有進(jìn)一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。

向AI問一下細(xì)節(jié)

如何進(jìn)行Apache Struts2 S2-057漏洞分析

0x01漏洞影響面

影響面

影響版本

修復(fù)版本

0x02 漏洞驗(yàn)證

0x03 修復(fù)建議

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽