UCloud-201808-002:Apache Struts2远程代码执行漏洞安全预警

漏洞详情

Apache Struts发布安全公告S2-057,当Struts.xml文件将struts.mapper.alwaysSelectFullNamespace该选项设置为true,并且package标签页以及result的param标签页的namespace值的属性缺失时可造成namespace被控制,namespace被带入ognl语句执行,产生远程代码执行漏洞。

影响范围

Apache Struts 2.3 - 2.3.34
Apache Struts 2.5 - 2.5.16

修复方案

1.升级到官方发布的最新版本进行修复:
Apache Struts 2.3.35   
Apache Struts 2.5.17   
2.使用web应用防火墙UWAF进行安全防护;

参考链接

https://cwiki.apache.org/confluence/display/WW/S2-057