公告详情

尊敬的用户：

您好！

近期，我们收到关于Apache Struts2 （S2-045）远程代码执行漏洞（CNNVD-201703-152）的通知。为保障您的业务及服务器安全，请您参考以下方案修复漏洞：

      一、漏洞介绍

Apache Struts 2被曝存在远程命令执行漏洞，漏洞编号S2-045，CVE编号CVE-2017-5638，在使用基于Jakarta插件的文件上传功能时，有可能存在远程命令执行，导致系统被黑客入侵。

恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行系统命令。

二、影响范围

     Struts 2.3.5 – Struts 2.3.31

     Struts 2.5 – Struts 2.5.10

     三、修复方案

如果你正在使用基于Jakarta的文件上传Multipart解析器，请升级到Apache Struts 2.3.32或2.5.10.1版；或者也可以切换到不同的实现文件上传Multipart解析器。

临时缓解

如用户不方便升级，可采取如下临时解决方案：

删除commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。

     四、自查方式

     漏洞检测链接：https://www.vulbox.com/lab/