关于Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞的安全声明

作者 : 开心源码 本文共785个字,预计阅读时间需要2分钟 发布时间: 2022-05-12 共182人阅读

原创: CNVD CNVD漏洞平台 11月7日

安全声明编号:CNTA-2018-0029

2018年11月7日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞(CNVD-2016-09997,对应CVE-2016-1000031)。攻击者利用该漏洞,可在未受权的情况下远程执行代码。目前,厂商已发布修复漏洞的版本。

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。

2018年11月5日,Apache Strust2发布最新安全声明,Apache Struts2存在远程代码执行的高危漏洞(CVE-2016-1000031),该漏洞由Tenable研究团队发现。此漏洞为FileUpload 库中的一个高危漏洞,这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。攻击者可以在未经受权的情况下,执行任意代码并可获取目标系统的所有权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

目前,漏洞影响的产品版本包括:

Struts 2.5.12以下版本。

三、漏洞处置建议

目前,Apache公司已发布了新版本(Struts 2.5.12及以上版本,包括Commons FileUpload库的修补版本1.3.3)修复了该漏洞,CNVD建议客户及时更新最新版本:

https://issues.apache.org/jira/browse/FILEUPLOAD-279

附:参考链接:

http://www.cnvd.org.cn/flaw/show/CNVD-2016-09997

https://issues.apache.org/jira/browse/FILEUPLOAD-279

说明
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是摆设,本站源码仅提供给会员学习使用!
7. 如遇到加密压缩包,请使用360解压,如遇到无法解压的请联系管理员
开心源码网 » 关于Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞的安全声明

发表回复