Apache Struts 2 使用jakarta Multipart parser的上传文件模组被发现存在一个漏洞,令攻击者可以在受影响的应用程式伺服器上执行远端程式码。远端攻击者可以向受影响的系统发送一个带有无效 Content-Type 值的特制URL来攻击这个漏洞。概念验证程式码已在互联网被公开。
成功利用这个漏洞的攻击可以导致泄漏资讯、网页被涂改、后门软件植入、及让入侵者在受影响的系统上任意执行程式码。
系统管理员应将Apache Struts2升级至2.3.32或2.5.10.1以应对以上问题。更新版本可从以下网址下载:
系统管理员应遵从Apache Community的建议,立即采取行动以降低风险。
在未能安装修补程式前,建议参考以下网站的临时解决方法:
http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474
http://news.xinhuanet.com/itown/2017-03/07/c_136109084.htm
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638