您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

【高危预警】Struts2远程代码执行漏洞(S2-053)

作者:
发布时间:2017-09-07
[漏洞类型]:远程代码执行漏洞
[CVE-ID]:CVE-2017-1000112
[危害等级]:高危
[影响版本]:
Struts 2.0.1
Struts 2.3.33
Struts 2.5 - Struts 2.5.10
[漏洞危害]:
当开发者在Freemarker标签中使用如下代码时
<@s.hidden name="redirectUri" value=redirectUri />
<@s.hidden name="redirectUri" value="${redirectUri}" />
Freemarker会将值当做表达式进行执行,最后导致代码执行。
[修复建议]:
不要以上述的方式进行代码书写,官方已经发布补丁,请升级到最新版本2.5.12或2.3.34。
struts 2.5.12下载地址:https://github.com/apache/struts/releases/tag/STRUTS_2_5_12 
struts 2.3.34下载地址:https://github.com/apache/struts/releases/tag/STRUTS_2_3_34 
标签: