CNCERT:Apache Struts2 Commons FileUpload反序列化遠端程式碼執行漏洞安全公告
安全公告編號:CNTA-2018-0029
2018年11月7日,國家資訊安全漏洞共享平臺(CNVD)收錄了Apache Struts2 Commons FileUpload反序列化遠端程式碼執行漏洞(CNVD-2016-09997,對應CVE-2016-1000031)。攻擊者利用該漏洞,可在未授權的情況下遠端執行程式碼。目前,廠商已釋出修復漏洞的版本。
一、漏洞情況分析
Struts2是第二代基於Model-View-Controller(MVC)模型的java企業級web應用框架,成為國內外較為流行的容器軟體中介軟體。
2018年11月5日,Apache Strust2釋出最新安全公告,Apache Struts2存在遠端程式碼執行的高危漏洞(CVE-2016-1000031),該漏洞由Tenable研究團隊發現。此漏洞為FileUpload 庫中的一個高危漏洞,這個庫作為Apache Struts 2的一部分,被用作檔案上傳的預設機制。攻擊者可以在未經授權的情況下,執行任意程式碼並可獲取目標系統的所有許可權。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響範圍
目前,漏洞影響的產品版本包括:
Struts 2.5.12以下版本。
三、漏洞處置建議
目前,Apache公司已釋出了新版本(Struts 2.5.12及以上版本,包括Commons FileUpload庫的修補版本1.3.3)修復了該漏洞,CNVD建議使用者及時升級最新版本:
https://issues.apache.org/jira/browse/FILEUPLOAD-279
附:參考連結:
http://www.cnvd.org.cn/flaw/show/CNVD-2016-09997
https://issues.apache.org/jira/browse/FILEUPLOAD-279
宣告:本文來自CNVD漏洞平臺,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。