CVE-2017-5638:Struts 2 远程代码执行漏洞





背景介绍

Struts2的使用范围及其广泛,国内外均有大量厂商使用该框架。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2Struts的下一代产品,是在struts 1WebWork的技术基础上进行了合并的全新的Struts 2框架。

漏洞描述

使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

漏洞影响

攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。

POC

暂未公布

修复建议

如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。您也可以切换到Jakarta插件的不同实现。

参考链接


CVE-2017-5638:Struts 2 远程代码执行漏洞

发布者

默默

默默码农

发表评论

电子邮件地址不会被公开。 必填项已用*标注