gtlishujie的gravatar头像
gtlishujie2018-08-24 13:53:44
升级到struts-2.3.35版本

8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在 两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构 成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空间值,也可能构成 RCE 攻击。

受影响的版本
l Struts version 2.3.0 – 2.3.34
l Struts version 2.5.0 – 2.5.16

不受影响的版本
l Struts version 2.3.35
l Struts version 2.5.17

 

解决方案:
请尽快升级至 Apache Struts version 2.3.35 或者 2.5.17。

升级到struts 2.3. 35步骤:

第一步:官网下载struts 2.3.35,地址:http://www-eu.apache.org/dist/struts/2.3.35

第二步:删除旧jar包。

第三步:更新最新jar包。如下:

升级到struts-2.3.35版本


打赏

分享到:

最近浏览
chen_xian11月6日
暂无贡献等级
986871510 LV1110月29日
月亮月亮星星星星星星
gtlishujie LV410月25日
月亮
xwkjcc LV710月14日
月亮星星星星星星
angelakay LV410月11日
月亮
郭亚鹏 LV1110月9日
月亮月亮星星星星星星
学习天成 LV19月29日
星星
chuangsheng LV29月18日
星星星星
心印语 LV99月17日
月亮月亮星星
xiaonixn00 LV39月15日
星星星星星星
顶部客服微信二维码底部
>扫描二维码关注最代码为好友扫描二维码关注最代码为好友