【漏洞预警】S2-057远程代码执行

Struts2是apache项目下的一个web 框架，普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。

新漏洞刚被发现发布时，对很多企业网络来说可能是最危险的时刻，应对不及时而造成的危害可能是巨大的，特别是像Struts2 S2-057这样会搞死人的漏洞，显然黑客对他们的关注度比很多企业的安管人员要高的多。

S2-057远程代码执行

漏洞简介

当namespace没有为基础xml配置中定义的结果设置值时，可以执行RCE攻击，同时，其上部操作配置没有或通配符namespace。当使用url没有value和action设置的标签并且同时其上部动作配置没有或通配符时，相同的可能性namespace。

漏洞详情

l 危害等级：高危

l CVE编号：CVE-2018-5390

l 漏洞类型：远程代码执行

影响范围

Struts 2.3 - Struts 2.3.34

Struts 2.5 - Struts 2.5.16

处置建议

1.升级到Struts 2.3.35或Struts 2.5.17

2.临时解决方案:

验证您是否已namespace为基础xml配置中的所有已定义结果设置（并且始终不会忘记设置）（如果适用）。还要验证您是否已设置（并且始终不会忘记设置）value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。