Apache 發布了新版本的 Apache Struts 以應對不正確設置命名空間引起的漏洞。遠端攻擊者可以向受影響的系統傳送特製的查詢來攻擊這個漏洞。
有報告指漏洞 S2-052 導致攻擊者可利用發送特製的查詢從而執行任意程式碼。用戶亦應優先為這些受影響的裝置安裝修補程式。
用戶應立即採取行動為所有已安裝Apache Struts 2的系統修復這個嚴重漏洞CVE-2018-11776。由於針對該漏洞的概念驗証以及可行的程式碼已被公開,目前受影響系統很可能會遭受到攻擊。
成功利用這個漏洞的攻擊者可以導致遠端執行程式碼。
系統管理員應將 Apache Struts 版本升級至 2.5.17 或 2.3.35 以應對以上問題。更新版本可從以下網址下載:
https://struts.apache.org/download.cgi
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。更多詳細資料,請瀏覽以下網址:
https://cwiki.apache.org/confluence/display/WW/S2-057
https://cwiki.apache.org/confluence/display/WW/S2-057
https://www.us-cert.gov/ncas/current-activity/2018/08/22/Apache-Releases-Security-Update-Apache-Struts
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://www.imperva.com/blog/2018/08/read-apache-struts-patches-critical-vulnerability-cve-2018-11776