近日,Apache发布官方安全通告。由于没有正确的处理文件上传,导致Struts 2的Jakarta Multipart解析器中存在严重安全漏洞。攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程任意代码执行。
该漏洞与不久前安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng所发现的Struts 2高危漏洞(CNNVD编号CNNVD-201703-152,CVE编号CVE-2017-5638)属于同一漏洞,只是利用手法不同,厂商为这个漏洞发布了两篇安全公告(S2-045与S2-046)。如果已经按照之前S2-045漏洞的修复要求将Struts 2升级到了最新版本,就不会受本次安全公告中所述漏洞的影响。
安恒信息再次提示您,使用明鉴Web应用弱点扫描器和网站安全监测平台的用户升级到最新策略版本可以帮助您查找漏洞是否存在,另外以下措施可以有效防范Struts2 S2-045和S2-046漏洞:
https://dist.apache.org/repos/dist/release/struts/2.5.10.1/
https://dist.apache.org/repos/dist/release/struts/2.3.32/