背景介绍
Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。(来源:百度百科)
漏洞描述
使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。
漏洞影响
攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。
POC
暂未公布
修复建议
如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。您也可以切换到Jakarta插件的不同实现。
官网公告
https://cwiki.apache.org/confluence/display/WW/S2-045
补丁地址
Struts 2.3.32:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32
Struts 2.5.10.1:https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1
本文暂时没有评论,来添加一个吧(●'◡'●)