struts_2.3.5_unserialize_CVE-2017-5638
说明 | 内容 |
---|---|
漏洞编号 | S2-045 CVE-2017-5638 |
漏洞名称 | struts_2.3.5_unserialize |
漏洞评级 | 高危 |
影响范围 | Struts 2.3.5 - Struts 2.3.31 Struts 2.5 - Struts 2.5.10 |
漏洞描述 | 在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。 |
修复方案 | 升级 打补丁 上设备 |
漏洞描述
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2框架存在多个远程代码执行(S2-005、S2-009、S2-013、S2-016、S2-019、S2-020、S2-037