尊敬的用户:
您好!
近期,我们收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的通知。为保障您的业务及服务器安全,请您参考以下方案修复漏洞:
一、漏洞介绍
Apache Struts 2被曝存在远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
二、影响范围
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
三、修复方案
如果你正在使用基于Jakarta的文件上传Multipart解析器,请升级到Apache Struts 2.3.32或2.5.10.1版;或者也可以切换到不同的实现文件上传Multipart解析器。
临时缓解
如用户不方便升级,可采取如下临时解决方案:
删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。
四、自查方式
漏洞检测链接:https://www.vulbox.com/lab/