【高危预警】Struts2远程代码执行漏洞(S2-053)
[漏洞类型]:远程代码执行漏洞
[CVE-ID]:CVE-2017-1000112
[危害等级]:高危
[影响版本]:
Struts 2.0.1
Struts 2.3.33
Struts 2.5 - Struts 2.5.10
[漏洞危害]:
当开发者在Freemarker标签中使用如下代码时
<@s.hidden name="redirectUri" value=redirectUri />
<@s.hidden name="redirectUri" value="${redirectUri}" />
Freemarker会将值当做表达式进行执行,最后导致代码执行。
[修复建议]:
不要以上述的方式进行代码书写,官方已经发布补丁,请升级到最新版本2.5.12或2.3.34。
struts 2.5.12下载地址:https://github.com/apache/struts/releases/tag/STRUTS_2_5_12 
struts 2.3.34下载地址:https://github.com/apache/struts/releases/tag/STRUTS_2_3_34 
立即加入让云安全“看得清、防得住、追得到”
需求提交
马上咨询