Struts2 漏洞编号为CVE-2017-5638 临时 解决方法

最新推荐文章于 2024-08-26 08:58:57 发布
最新推荐文章于 2024-08-26 08:58:57 发布
阅读量1.5k 收藏
点赞数
分类专栏: javaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yg138369/article/details/60867408
版权

解决方案1

1、修改struts2 jar 中 default.properties  struts.multipart.parser属性 设置为pell

2、增加 struts2-pell-multipart-plugin-2.3.16.jar(注意此jar包的版本与struts2-core 版本保持一致)

               pell-multipart-2.1.5.jar

注:修改之后 单个form只支持 1个文件上传

jar 下载地址  http://mvnrepository.com/


解决方案2

修改struts2-core 源文件 重新打包

1. \core\src\main\java\org\apache\struts2\dispatcher\multipart\MultiPartRequestWrapper.java
2. \core\src\main\java\org\apache\struts2\dispatcher\multipart\JakartaMultiPartRequest.java
3. \core\src\main\java\org\apache\struts2\dispatcher\multipart\JakartaStreamMultiPartRequest.java

if (LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, new Object[0]) == null) {
 return LocalizedTextUtil.findText(this.getClass(), "struts.messages.error.uploading", defaultLocale, null, new 
Object[] { e.getMessage() });
 } else {
 return LocalizedTextUtil.findText(this.getClass(), errorKey, defaultLocale, null, args);
 }


推荐 方案2


捡着了
关注
专栏目录
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-057(CVE-2018-11776)
qq_51577576的博客
12-10 618
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-057(CVE-2018-11776) 漏洞产生于网站配置XML时如果没有设置namespace的值,并且上层动作配置中并没有设置或使用通配符namespace时,可能会导致远程代码执行漏洞的发生。同样也可能因为url标签没有设置value和action的值,并且上层动作并没有设置或使用通配符namespace,从而导致远程代码执行漏洞的发生。
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1483
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
struts2 漏洞 "cve-2017-5638" 研究文档
11-21
近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。 目前Struts2官方已经确认漏洞漏洞编号S2-045,CVE编号cve-2017-5638),并定级为高风险。 CVE: 英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 受影响的软件版本: Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10, 该漏洞危害程度极高,黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令, 将会对受影响站点造成严重影响,引发数据泄露、网页篡改、后门植入、沦为肉鸡等安全事件。
Apache Struts CVE-2017-5638 利用工具(struts-pwn) 教程
最新发布
gitblog_00924的博客
08-26 317
Apache Struts CVE-2017-5638 利用工具(struts-pwn) 教程 struts-pwnAn exploit for Apache Struts CVE-2017-5638项目地址:https://gitcode.com/gh_mirrors/st/struts-pwn 项目介绍 struts-pwn 是一个用于利用 Apache Struts CVE-2017-56...
struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 除了升级外还是有修复方案的
hanxin的专栏
03-23 919
[b]【IT168 评论】关注网络安全的朋友们,想必最近两天已经被一个高危漏洞刷屏,其来势汹汹让不少网络安全圈内人士咋舌。近日,多家网络安全公司发现并曝光了全球最为流行的Java Web服务器框架之一的Apache Struts2存在漏洞。而这一漏洞最终也被Struts2官方确认,其漏洞编号为S2-045,CVE编号cve-2017-5638,并将其定级为高危漏洞。[/b] Apache ...
使用 ModSecurity 虚拟修补 Apache Struts CVE-2017-5638
allway2的博客
08-09 420
作为升级到新版 Struts 的一部分,每个依赖于 Struts 的应用程序都需要重新构建并使用最新的 Struts 库进行测试。通过这样做,您可以保护您的网站免受攻击。当快速部署修复库中的代码不切实际时,您可以使用 ModSecurity 拦截漏洞,“虚拟修补”受影响的代码,直到您可以升级受影响的库。有了 ModSecurity 自定义规则,您就可以按照合理的时间表仔细地修补生产软件,而不会受到易受攻击的压力。当打印未转义的无效标头时,将评估 OGNL 表达式,并执行 OGNL 表达式中的任何系统命令。.
春秋云镜 CVE-2017-5638
qq_22002773的博客
09-07 441
春秋云镜 CVE-2017-5638
weblogic 安全漏洞 CVE-2017-5638
weixin_30727835的博客
08-16 1277
   关于安全漏洞 CVE-2017-5638 的 Weblogic Server 防护建议 关于Weblogic Server如何防护防止近期爆出的Struts 2远程代码执行安全漏洞,为您提供以下内容参考。 Oracle WebLogic Server 产品本身没有使用Struts 2, 因此不受此漏洞影响。 只有Oracle WebLogic Server -sample...
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
CVE-2017-5638 是S2-045漏洞的官方CVE编号,这表明了它是一个被广泛认可的安全漏洞。当Struts2尝试解析非标准的MIME类型时,比如“multipart/form-data; boundary=----WebKitFormBoundary”这类格式,如果没有正确...
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1792
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9952
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
[附POC]Apache Struts2最新(CVE-2017-5638,S02-45)POC
weixin_33806914的博客
03-08 318
#! /usr/bin/env python # encoding:utf-8 import urllib2 import sys from poster.encode import multipart_encode from poster.streaminghttp import register_openers def poc():     register_openers()     dat...
CVE-2017-5638——S2-045
weixin_30808693的博客
07-20 227
一、漏洞简介 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品:Struts 1和Struts 2。 ApacheStruts 2.3.5 – 2.3.31版本及2.5 – 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152,CVE-2017...
绿盟科技网络安全威胁周报2017.11 关注Apache Struts2 任意代码执行漏洞 CVE-2017-5638...
weixin_34032779的博客
09-01 355
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-11,绿盟科技漏洞库本周新增136条,其中高危63条。本次周报建议大家关注Apache Struts2 任意代码执行漏洞CVE-2017-5638。目前漏洞细节以及利用工具已经曝光,可导致大规模对此漏洞的利用。强烈建议用户检查自己的Struts2是否为受影响的版本,如果是,请尽快升级。 ...
简析struts2漏洞CVE-2017-5638,S02-45 (形成原理,解决方法
chengyueshi2102的博客
03-08 581
简单说一下Struts2基于“commons-fileupload”组件实现文件上传的漏洞漏洞编号CVE-2017-5638,S02-45. 1. 漏洞重现: 通过发包模拟器或其它你能修改请求头Content-Type字段的客户端,可以把Content-Type 修改成诸如h...
CVE-2017-5638漏洞利用
wuxinweii的博客
06-04 4240
实验准备 :一台Kali主机,一台ubuntu主机,docker中vulhub/struts2:2.3镜像 1、打开docker,开启vulhub/struts2:2.3镜像 dockers run -d -p 8080:8080 vulhub/struts2:2.3 启动镜像容器,映射本地的8080端口。 2.查看能否访问端口 3.扫描主机,查看是否存在CVE-2017-5638漏洞 可以选择nessus扫描主机来确定是否存在该漏洞,这里已经确定存在CVE-2017-5638漏洞,就省略了此步骤,有需
Struts 2再爆高危漏洞CVE-2017-5638 绿盟科技发布免费扫描工具及产品升级包
weixin_33682790的博客
09-01 740
Apache Structs2的Jakarta Multipart parser插件存在远程代码执行漏洞漏洞编号CVE-2017-5638。cwiki.apache.org公告了这个信息。 绿盟科技发布免费扫描工具及产品升级包 绿盟科技紧急发布了在线免费扫描工具,同时发布了产品升级包,包括绿盟远程安全评估系统RSAS V6插件升级包,及WEB应用漏洞...
Struts2 __ S2-045 Remote Code Execution Vulnerablity __ CVE-2017-5638
cgjil的博客
09-12 163
Apache官方发布Struts 2 紧急漏洞公告(S2-045),CVE编号CVE-2017-5638。公告中披露 ,当基于Jakarta插件上传文件时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。一、修复方式: 升级Apache Struts版本至 2.3.32 or 2.5.10.1以上。字段串(及相关字符转义形式)的URL请求。
Struts2重大漏洞CVE-2017-5638:远程代码执行风险
本文档主要探讨了Struts2框架中发现的一个严重漏洞编号为S2-045,CVE编号CVE-2017-5638。此漏洞被安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现,涉及Struts 2.3.5至2.3.31及Struts 2.5至2.5.10的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值