CNVD-ID

CNVD-2017-02880

发布时间

2017-03-21

危害级别

高 (AV:N/AC:L/Au:N/C:C/I:C/A:C)

影响产品

Apache struts >=2.3.5，< ="2.3.31

Apache struts >=2.5，< ="2.5.10

漏洞描述

Apache Struts是一款用于创建企业级Java Web应用的开源框架。

Apache Struts 2存在046远程代码执行漏洞，攻击者在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。

漏洞类型

通用软硬件漏洞

URL

参考链接

https://struts.apache.org/docs/s2-046.html

https://github.com/pwntester/S2-046-PoC

漏洞解决方案

Apache Struts官方已在发布的新的版本中修复了该漏洞。建议使用Jakarta based file upload Multipart parser模块的用户升级到 Apache Struts version 2.3.32 or 2.5.10.1：

https://struts.apache.org/docs/s2-046.html

漏洞发现者

Chris Frohoff, Nike Zheng, Alvaro Munoz

厂商补丁

Apache Struts 2-046远程代码执行漏洞的补丁

验证信息

已验证

报送时间

2017-03-21

收录时间

2017-03-21

更新时间

2017-03-21

漏洞附件

(无附件)

在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。