struts开源框架的条目中还有一个漏洞号为S2-048(CVE-2017-9791)的高风险漏洞。今天,肖凯seo博客转载了百度安全指数对该漏洞的描述。正文如下:
struts是开源框架。使用Struts的目的是通过使用MVC设计模型来帮助我们减少开发Web应用程序所花费的时间。如果我们想利用Servlets和JSP的优势来构建可扩展的应用程序,Struts是一个很好的选择。Struts是Apache软件基金会(ASF)赞助的开源项目。原本是雅加达项目的子项目,2004年3月成为ASF的顶级项目。它采用MVC设计模式的经典产品——JavaServlet/JSP技术,实现了基于Java EEWeb应用的MVC设计模式应用框架。(百度百科)
漏洞描述
2017年7月7日,Apache Struts发布最新安全公告,漏洞号S2-048(CVE-2017-9791)。在Struts 2.3.x系列的Showcase应用程序中,演示了在集成Struts 2和Struts1的插件中存在任意代码执行漏洞。当您的应用程序使用Struts2 Struts1的插件时,它可能会导致不可信的输入被传递到ActionMessage类,从而导致命令执行。
影响版本:Struts 2.3.X
漏洞级别:高风险
修复建议
1、关闭Struts2 Struts1插件或升级到最新无漏洞版本;
2、使用百度云加速WAF防火墙进行防御;
3。将网站添加到安全索引中,及时了解网站组件突发/0天漏洞。
了解更多
https://cwiki.apache.org/confluence/display/WW/S2-048
59
59
59
59
59
59
59
59
59
59