Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞公告
近日,Apache Struts2 爆出遠(yuǎn)程代碼執(zhí)行漏洞 (CVE-2017-5638),該漏洞存在于 Apache Struts2 的 Jakarta Multipart parser 插件模塊,攻擊者可以在使用該插件上傳文件時(shí),修改 HTTP 請(qǐng)求頭中的 Content-Type 值來(lái)觸發(fā)該漏洞,導(dǎo)致遠(yuǎn)程執(zhí)行代碼。漏洞詳情請(qǐng)參見(jiàn):http://www.hack-cn.com/articles/40。請(qǐng)可能受影響的用戶盡快升級(jí)處理。
影響范圍:
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
檢查方法:
http://0day.websaas.com.cn/
修復(fù)建議:
升級(jí)到 Struts 2.3.32?或 Struts 2.5.10.1
QingCloud 技術(shù)團(tuán)隊(duì)
分享