首頁 > 新聞資訊 > 互聯網安全公告 > 詳情信息

關于Apache Struts2 Commons FileUpload反序列化遠程代碼執行漏洞的安全公告

發布時間:2018-11-22 15:30:27

新聞來源:國家互聯網應急中心

安全公告編號:CNTA-2018-0029

2018年11月7日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Struts2 Commons FileUpload反序列化遠程代碼執行漏洞(CNVD-2016-09997,對應CVE-2016-1000031)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,廠商已發布修復漏洞的版本。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業級web應用框架,成為國內外較為流行的容器軟件中間件。

2018年11月5日,Apache Strust2發布最新安全公告,Apache Struts2存在遠程代碼執行的高危漏洞(CVE-2016-1000031),該漏洞由Tenable研究團隊發現。此漏洞為FileUpload 庫中的一個高危漏洞,這個庫作為Apache Struts 2的一部分,被用作文件上傳的默認機制。攻擊者可以在未經授權的情況下,執行任意代碼并可獲取目標系統的所有權限。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

目前,漏洞影響的產品版本包括:

Struts 2.5.12以下版本。

三、漏洞處置建議

目前,Apache公司已發布了新版本(Struts 2.5.12及以上版本,包括Commons FileUpload庫的修補版本1.3.3)修復了該漏洞,CNVD建議用戶及時升級最新版本:

https://issues.apache.org/jira/browse/FILEUPLOAD-279

 

附:參考鏈接:

http://www.cnvd.org.cn/flaw/show/CNVD-2016-09997

https://issues.apache.org/jira/browse/FILEUPLOAD-279