CNNVD關于Apache Struts2 S2-057安全漏洞情況的通報示例分析

目前，apache官方已經發布了版本更新修復了該漏洞。建議用戶及時確認apache struts產品版本，如受影響，請及時采取修補措施。

一、漏洞介紹

Apache Struts2是美國阿帕奇（Apache）軟件基金會下屬的Jakarta項目中的一個子項目，是一個基于MVC設計的Web應用框架。

2018年8月22日，Apache官方發布了Apache Struts2 S2-057安全漏洞（CNNVD-201808-740、CVE-2018-11776）。當在struts2開發框架中啟用泛Namespace功能，并且使用特定的result時，會觸發遠程代碼執行漏洞。

二、危害影響

成功利用該漏洞的攻擊者，可以在目標系統中執行惡意代碼。Apache Struts 2.3–Apache ? ? Struts2.3.34、Apache Struts2.5–Apache ? ? ? ? Struts 2.5.16等版本等均受此漏洞影響。

三、修復建議

目前，apache官方已經發布了版本更新修復了該漏洞。建議用戶及時確認apache struts產品版本，如受影響，請及時采取修補措施。漏洞修補措施如下：

升級到struts2 2.3.35 或者 struts2 2.5.17