安全公告/【CVE-2018-11776】
基本信息
漏洞名称:Struts2 S2-057 远程代码执行漏洞(CVE-2018-11776)
受影响操作系统:Asianux release 2.0 (Trinity SP4)
危险等级:高危
影响源码包:Struts
CVSS评分:8.1
发现日期:2024-03-29
漏洞描述
Struts2 中存在远程代码执行漏洞,当上层操作配置没有namespace或通配符配置namespace时,如果基础xml配置中未设置namespace值或者使用没有value和action设置的url标签,可能导致远程代码执行。
修复方式
将 Struts2 升级到 2.3.35、2.5.17 及以上版本,下载地址: https://archive.apache.org/dist/struts/ https://struts.apache.org/download
漏洞判定
版本比对检测原理:检查当前系统中Struts2版本是否在受影响版本内|版本比对检测结果:- Struts2 当前安装版本:2.3.32 应用相关信息: - 进程PID:1770 - 应用路径:/app/weblogic/bea/wlserver_10.3/workshop/wisent-cobra/WEB-INF/lib/struts2-core-2.3.32.jar 该主机存在此漏洞
参考
CVE-2018-11776,CNVD-2018-15894,CWE-20,CNNVD-201808-740