关于struts开源框架进入也出现了一个漏洞编号为S2-048(CVE-2017-9791)的高危漏洞,今天小凯seo博客转载来自百度安全指数针对这次漏洞的描述,正文部分如下:
struts是开源框架。使用Struts的目的是为了帮助我们减少在运用MVC设计模型来开发Web应用的时间。如果我们想混合使用Servlets和JSP的优点来建立可扩展的应用,struts是一个不错的选择。Struts 是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用JavaServlet/JSP技术,实现了基于Java EEWeb应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品。(百度百科)
漏洞描述
2017年7月7日,Apache Struts发布最新的安全公告,漏洞编号为S2-048(CVE-2017-9791),在Struts 2.3.x 系列的Showcase应用中演示Struts2整合Struts1的插件中存在一处任意代码执行漏洞。当你的应用使用了Struts2 Struts1的插件时,可能导致不受信任的输入传入到ActionMessage类中导致命令执行。
影响版本:Struts 2.3.X
漏洞等级:高危
修复建议
1、关闭Struts2 Struts1插件或者升级到最新无漏洞版本;
2、使用百度云加速WAF防火墙进行防御;
3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多
https://cwiki.apache.org/confluence/display/WW/S2-048