Struts2 S2-057远程代码执行漏洞预警

最新推荐文章于 2024-05-19 18:51:10 发布
最新推荐文章于 2024-05-19 18:51:10 发布
阅读量101 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/628152
版权
安全漏洞公告

2018年8月22日,Struts2官方公布最新的Struts2远程代码执行漏洞S2-057,在一定条件下,该漏洞允许攻击者远程执行代码,存在高危风险。

漏洞相关描述

当在struts2开发框架中使用泛namespace功能的时候,并且使用特定的result可能产生远程代码执行漏洞。

预警级别:蓝色

漏洞编号:CVE-2018-11776、S2-057

漏洞名称:Struts2 S2-057远程代码执行漏洞.

官方评级:严重

漏洞影响范围

Struts 2.3 - Struts 2.3.34, Struts 2.5 - Struts2.5.16

漏洞缓解措施

升级struts2 2.3.35 或者 struts22.5.17

参考文档

漏洞缓解说明(原文):

https://cwiki.apache.org/confluence/display/WW/S2-057?from=timeline&isappinstalled=0


原文发布时间为:2018-08-22

本文作者:应急响应中心

本文来自云栖社区合作伙伴“安恒信息”,了解相关信息可以关注“安恒信息”。

weixin_34334744
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
Struts2 S2-057远程代码执行漏洞
weixin_46801402的博客
11-01 819
Struts2 S2-057远程代码执行漏洞
Struts2-057远程代码执行漏洞预警
煜铭2011
08-22 8854
0x00 前言 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Cont...
Struts2-057远程代码执行漏洞(s2-057)复现
m0_48520508的博客
12-10 873
0x00简介 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。 0x01漏洞概述 漏洞产生于网站配置XML时如果没有设置namespace的值,并且上层动作配置中并
Struts2安全漏洞
solobear的专栏
07-27 3759
摘要:Struts应用开发框架目前广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。近日网上公布了Struts一个严重的命令执行漏洞,在我国互联网环境影响巨大,本文将对这个漏洞进行分析和描述。 StrutsApache软件基金会Jakarta项目组的一个开源项目,它采用MVC模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大型
Struts2 S2-029远程代码执行漏洞初探1
08-08
Struts2 S2-029远程代码执行漏洞初探1
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2远程代码执行漏洞分析(S2-013)1
Struts2 s2-032远程代码执行分析1
08-08
Struts2 s2-032远程代码执行分析1
pinohans#pinohans.github.io#Struts2 S2-032远程代码执行1
07-25
title: 'Struts2 S2-032远程代码执行'影响范围。
structs2最新远程执行漏洞S2-057、反序列化漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
鬼哥struts2测试工具.exe
01-03
鬼哥struts2测试工具.exe
struts2测试工具
09-26
具体做什么用的,忘记了,各位随意下载~~~~~~~~~~~~~~~~~~~~~不知道什么鬼策略,莫名把下载积分提了这么高.~~~
struts2远程执行
..7a.
10-19 2615
Struts2的核心是使用的webwork框架,而webwork又是使用的XWork来处理action的,并且通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: user.address.city=Bishkek&user['favoriteDrink']=kumys ONGL将它转
struts2-057漏洞复现
diebanlin1480的博客
09-03 177
哎,最近还是比较忙的,各种麻烦事各种心累,突然想起我还有这么一个博客,想着怎么着也得上来写点东西,上周爆出了struts2-057漏洞,趁闲的时候复现一下,坑还是蛮多的。 直接开始,这里要膜拜一下大佬https://github.com/jas502n/St2-057 首先本地使用docker部署vulhub,详细的可以参考https://www.douban.com/note...
linux struts2漏洞,重大漏洞预警Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
weixin_39612677的博客
05-16 429
背景介绍近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行漏洞Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞Struts2的使用范围及其广泛,国内外均有大量厂商使用该框架。Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立...
高危 struts2 远程执行代码漏洞
关注安全的程序员
07-04 333
struts2 的童鞋主意了,最近出了几个比较严重的安全漏洞,危害及大。没补丁的童鞋赶快补丁,服务器会被别人日了。 下面公布几个exp 有兴趣的童鞋可以去测试下,不懂的可以联系俺,共同探讨下。说不定还能发现0day. 15个漏洞及补丁自己去官网看: https://cwiki.apache.org/confluence/display/WW/Security+Bulletins ...
程序世界系列之-struts2安全漏洞引发的安全杂谈(上)
weixin_33725272的博客
07-25 438
目录: 1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间讲述的经历想法实战,均属个人看法个人行为不代表任何团体及组织。观看者请保留自己的想法观点!欢迎各位热爱编程的技术人员交流。废话不多,开始正文。 1.讨论...
struts2 最新漏洞 S2-016、S2-017修补方案
weixin_30315723的博客
07-18 220
昨天struts2爆了一个好大的漏洞,用道哥的话来说就是:“今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,大家可以感受一下。” 看下乌云这两天的数据: 相关报道: 灾难日:中国互联网惨遭Struts2高危漏洞摧残 Struts2被曝重要漏洞,波及全系版本 官方描述: S2-016:https://cwiki.apache.org/confluence/display/W...
docker中安装jenkins,并在node和cloud上跑通基于源码控制SCM的pipeline
最新发布
qq_29022265的博客
05-19 1114
从安装jenkins到创建jenkins的node和cloud,最后再将scm和FreeStyle两种流水线跑通。
S2-052远程代码执行漏洞
07-27
S2-052远程代码执行漏洞Apache Struts 2框架中的一个安全漏洞,影响版本为2.0.0至2.5.12。该漏洞允许攻击者通过构造恶意的OGNL(Object-Graph Navigation Language)表达式,远程执行任意代码。 攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值