服务公告

全部公告 > 安全公告 > Apache Struts2远程代码执行漏洞(S2-045)安全预警

Apache Struts2远程代码执行漏洞(S2-045)安全预警

2017-03-08

一、概要

Apache Struts2官方最近公布S2-045漏洞,CVE编号为CVE-2017-5638,如果在Struts2中使用了Jakarta 文件上传插件,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令,入侵服务器。

目前漏洞POC已公开,请尽快修复漏洞。

官方链接:https://cwiki.apache.org/confluence/display/WW/S2-045

二、漏洞级别

漏洞级别:紧急。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Struts 2.3.x版本:Struts 2.3.5 - Struts 2.3.31

Struts 2.5.x版本:Struts 2.5 - Struts 2.5.10

四、排查方法

检查web目录中,/WEB-INF/lib/目录下的struts-core.x.x.jar 文件,如果这个版本在Struts2.3.5到 Struts2.3.31 或者 Struts2.5到Struts2.5.10之间,则存在漏洞。

五、安全建议

将Struts2版本升级至Struts 2.3.32 或Struts 2.5.10.1。

官方下载页面:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

注意:升级前请将资料备份,并进行充分测试。



华为云客户服务中心
2017年3月8日

点我,12·12惊喜等着你哦~