本文講的是<b>Struts2爆遠端代碼執行漏洞(S2-045),附POC</b>,
今天淩晨,安全研究員Nike Zheng在Struts2上發現一個高危漏洞(漏洞編号為CVE-2017-5638),當基于Jakarta Multipart解析器上傳檔案時,可能會導緻遠端代碼執行。
Struts2是一個基于MVC設計模式的Web應用架構,它本質上相當于一個servlet,在MVC設計模式中,Struts2作為控制器(Controller)來建立模型與視圖的資料互動。Struts 2以WebWork為核心,采用攔截器的機制來處理使用者的請求,這樣的設計也使得業務邏輯控制器能夠與ServletAPI完全脫離開,是以Struts 2可以了解為WebWork的更新産品。
Struts2爆遠端代碼執行漏洞
受影響的版本為Struts 2.3.5 – Struts 2.3.31, Struts 2.5 – Struts 2.5.10,建議所有的Struts2開發者和使用者将其軟體更新到最新版本( Struts 2.3.32 或者Struts 2.5.10.1)。
據國内安全圈各大牛的朋友圈顯示,昨天晚上Java工程師們都在連夜加班修複這一問題。最後再次建議,Struts2使用者盡快将其軟體版本更新至最新版本。
POC
原文釋出時間為:2017年3月7日
本文作者:張奕源Nick
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/3710.html" target="_blank">原文連結</a>