漏洞描述
2018年8月22日,Apache Struts发布最新安全公告,当Struts.xml文件将struts.mapper.alwaysSelectFullNamespace该选项设置为true,并且package标签页以及result的param标签页的namespace值的属性缺失时可造成namespace被控制,namespace被带入ognl语句执行,产生远程代码执行漏洞(S2-057)。
CVE编号
CVE-2018-11776
威胁等级
高
影响版本
Struts 2.3 – Struts 2.3.34,Struts 2.5 – Struts 2.5.16
修复建议
-
升级到Struts 2.3.35或Struts 2.5.17
-
临时解决方案:
验证您是否已namespace为基础xml配置中的所有已定义结果设置(并且始终不会忘记设置)(如果适用)。还要验证您是否已设置(并且始终不会忘记设置)value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。
相关链接:
https://cwiki.apache.org/confluence/display/WW/S2-057