Apache Struts2漏洞一爆再爆

歡迎大家討論任何與資安相關的問題

Apache Struts2漏洞一爆再爆

Postby Jenny » Wed Sep 06, 2017 7:11 pm

此次structs2 漏洞為CVE-2017-9805之編號,目前相關exploit已被公布在網路上。

問題發生於structs 2.5~2.5.12版本,要解決問題須將apache structs2升級至2.5.13版。

此漏洞系基於structs2上的插件 structsREST 存在,可將xml 物件轉換成程式碼進而遠端執行的漏洞

Solution:
目前structs2 官網已發布升級patch:https://struts.apache.org/docs/s2-052.html
Jenny
 
Posts: 77
Joined: Thu May 01, 2014 3:59 pm

Re: Apache Struts2漏洞一爆再爆

Postby BlueStar » Sat Aug 03, 2019 6:45 am

目前相關漏洞仍持續被發現當中,
且經由光盾自架的情資收集中心發現,主流廠商的WAF、IPS/IDS等防護設備均已被新型態的相關攻擊繞過。
即使是已知的攻擊,攻擊者仍利用各式手法繞過防護設備並控制主機。
請大家儘速將Apache Struct2更新至最新版本。
BlueStar
 
Posts: 54
Joined: Fri Jun 06, 2014 5:01 pm


Return to 疑難雜症專區(Any Discussion about Information Security)

cron