信息來(lái)源:FreeBuf
今年4月份,Apache Struts 2之上發(fā)現(xiàn)的S2-033遠(yuǎn)程代碼執(zhí)行漏洞�����,以迅雷不及掩耳之勢(shì)席卷而來(lái)�。其利用代碼很快就在短時(shí)間內(nèi)迅速傳播�����。而且官方針對(duì)這個(gè)高危漏洞的修復(fù)方案還是無(wú)效的����。
悲劇的事情今天又再度發(fā)生了�����,這次發(fā)現(xiàn)的Struts 2新漏洞編號(hào)為CVE-2016-4438�。這是又一個(gè)很?chē)?yán)重的遠(yuǎn)程代碼執(zhí)行漏洞:使用REST插件的用戶(hù)就會(huì)遭遇該問(wèn)題。
有關(guān)該漏洞的詳情如下:
Apache Struts 2 S2-037 遠(yuǎn)程代碼執(zhí)行
漏洞編號(hào):CVE-2016-4438
漏洞危害:造成遠(yuǎn)程代碼執(zhí)行
漏洞等級(jí):高危
影響版本:Apache struts 2.3.20 - 2.3.28.1 版本使用了REST插件的用戶(hù)
修復(fù)方案:加入cleanupActionName進(jìn)行過(guò)濾 或者 更新至官方struts2.3.29
FreeBuf百科:Struts 2
Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一�,是Struts的換代產(chǎn)品:在Struts 1和WebWork的技術(shù)基礎(chǔ)上�,進(jìn)行合并產(chǎn)生全新的Struts 2框架����。Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心����,采用攔截器的機(jī)制處理用戶(hù)的請(qǐng)求,這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與ServletAPI完全脫離開(kāi)����,所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化�����,但是相對(duì)于WebWork�,Struts 2的變化很小。
FreeBuf將持續(xù)跟蹤報(bào)道該漏洞細(xì)節(jié)及后續(xù)動(dòng)態(tài)�����,請(qǐng)關(guān)注�。
在線(xiàn)檢測(cè)
目前網(wǎng)藤漏洞感知系統(tǒng)(cvs.vulbox.com)已支持該漏洞檢測(cè)。您可以免費(fèi)申請(qǐng)試用網(wǎng)藤漏洞感知服務(wù)�����。
相關(guān)文章推薦
Struts2 S2-029遠(yuǎn)程代碼執(zhí)行漏洞初探
S2-029 Struts2 標(biāo)簽遠(yuǎn)程代碼執(zhí)行分析(含POC)
Struts2 S2-020在Tomcat 8下的命令執(zhí)行分析
Struts2再曝S2-020補(bǔ)丁繞過(guò)漏洞 – 萬(wàn)惡的正則表達(dá)式
*轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM
