服务公告 > Struts2最新漏洞预警(S2-048)

Struts2最新漏洞预警(S2-048)

2017-07-07

一、漏洞说明

Struts2发布了新的安全公告S2-048(CVE编号为CVE-2017-9791), 公告中披露了Struts 2.3.x的Showcase app 演示用例中存在远程代码执行漏洞,如果在Struts2中使用了集成Struts1的插件,并且在调用ActionMessage类时直接传递Raw message,则可能被传入恶意的Message,导致远程执行代码。

官方地址:https://cwiki.apache.org/confluence/display/WW/S2-048

二、漏洞级别

漏洞级别:严重。

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

Struts2版本为Struts 2.3.x,并且使用了集成Struts1插件。

四、修复建议

1. 官方已发布最新版本,建议用户升级至2.5.10.1。

下载地址: http://struts.apache.org/download.cgi

2. 临时修复方案:向ActionMessage传递原始消息时使用类似下面的资源键值,不要直接传递原始数值,建议采用方案:

messages.add("msg", new ActionMessage("struts1.gangsterAdded", gform.getName()));

而不要使用如下的方式:

messages.add("msg", new ActionMessage("Gangster " + gform.getName() + " was added"));

3. 停用showcase。