Apache 发布了新版本的 Apache Struts 以应对不正确设置命名空间引起的漏洞。远端攻击者可以向受影响的系统传送特制的查询来攻击这个漏洞。
有报告指漏洞 S2-052 导致攻击者可利用发送特制的查询从而执行任意程式码。用户亦应优先为这些受影响的装置安装修补程式。
用户应立即采取行动为所有已安装Apache Struts 2的系统修复这个严重漏洞CVE-2018-11776。由于针对该漏洞的概念验証以及可行的程式码已被公开,目前受影响系统很可能会遭受到攻击。
成功利用这个漏洞的攻击者可以导致远端执行程式码。
系统管理员应将 Apache Struts 版本升级至 2.5.17 或 2.3.35 以应对以上问题。更新版本可从以下网址下载:
https://struts.apache.org/download.cgi
受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。更多详细资料,请浏览以下网址:
https://cwiki.apache.org/confluence/display/WW/S2-057
https://cwiki.apache.org/confluence/display/WW/S2-057
https://www.us-cert.gov/ncas/current-activity/2018/08/22/Apache-Releases-Security-Update-Apache-Struts
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://www.imperva.com/blog/2018/08/read-apache-struts-patches-critical-vulnerability-cve-2018-11776