溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
話說今天早上,一個名為str2-045的漏洞成了大家的討論焦點,那么這個str2-045到底是個什么鬼?
這個漏洞的全名啊,叫做:基于 Jakarta plugin插件的Struts遠程代碼執行漏洞。根據官方評價,這個漏洞屬于高危漏洞,他的漏洞編號是:CVE-2017-5638
那這個漏洞到底是怎么一回事呢?
惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行系統命令。
這個漏洞的利用,是有條件滴!這個漏洞需要通過Jakarta 文件上傳插件實現遠程利用該漏洞執行代碼。
1.基于Jakarta(Jakarta Multipart parser)插件的文件上傳功能
2.惡意***者精心構造Content-Type的值
這個漏洞主要出現在:Struts 2.3.5 – Struts 2.3.31;Struts 2.5 – Struts 2.5.10這幾個版本
漏洞說明:
Apache Struts 2被曝存在遠程命令執行漏洞,漏洞編號S2-045,CVE編號CVE-2017-5638,在使用基于Jakarta插件的文件上傳功能時,有可能存在遠程命令執行,導致系統被******。
漏洞編號:
CVE-2017-5638
漏洞名稱:
基于 Jakarta plugin插件的Struts遠程代碼執行漏洞
官方評級:
高危
漏洞描述:
惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發該漏洞,進而執行系統命令。
漏洞利用條件和方式:
***通過Jakarta 文件上傳插件實現遠程利用該漏洞執行代碼。
1.基于Jakarta(Jakarta Multipart parser)插件的文件上傳功能
2.惡意***者精心構造Content-Type的值
漏洞影響范圍:
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
Created by Lukasz Lenart, last modified yesterday at 01:14 PM
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
