紧急 | Struts 2最新高危漏洞余波未平, S2-046攻击手段曝光

近日，Apache发布官方安全通告。由于没有正确的处理文件上传，导致Struts 2的Jakarta Multipart解析器中存在严重安全漏洞。攻击者可以通过构造HTTP请求头中的Content-Type值可能造成远程任意代码执行。

该漏洞与不久前安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng所发现的Struts 2高危漏洞（CNNVD编号CNNVD-201703-152，CVE编号CVE-2017-5638）属于同一漏洞，只是利用手法不同，厂商为这个漏洞发布了两篇安全公告(S2-045与S2-046)。如果已经按照之前S2-045漏洞的修复要求将Struts 2升级到了最新版本，就不会受本次安全公告中所述漏洞的影响。

安恒信息再次提示您，使用明鉴Web应用弱点扫描器和网站安全监测平台的用户升级到最新策略版本可以帮助您查找漏洞是否存在，另外以下措施可以有效防范Struts2 S2-045和S2-046漏洞：

• 升级到Struts2.5.10.1 或者Struts 2.3.32 版本。官方升级地址：

https://dist.apache.org/repos/dist/release/struts/2.5.10.1/

https://dist.apache.org/repos/dist/release/struts/2.3.32/

• 删除commons-fileupload-x.x.x.jar文件。请注意删除该文件可能导致网站的上传功能或其他应用无法正常使用。
• 如果升级或删除文件的方式均不可行，建议部署安恒信息的WAF、玄武盾、APT等产品并确保规则库已经升级到最新版本。目前上述产品均已支持Struts2 S2-045和S2-046漏洞的策略更新，可以有效防范该漏洞。