去年 京东信息泄露12G用户数据泄露 源自2013年Struts 2漏洞CVE-2013-2251 你需要了解的漏洞信息 ,这次大家赶紧看看吧。

远程代码执行漏洞rce漏洞是什么

通俗解释

远程执行代码是一种比较严重的漏洞,举个例子,攻击者把恶意代码存放在一个网页上面,然后你的电脑里面装了带漏洞的软件,当你访问那个网页的时候,这个漏洞就会触发,恶意代码就会执行。 恶意代码通常会后台下载一个文件然后执行它,而它下载的通常是木马,也就是说你一访问这个网页就会中毒,大部分“网马”指的就是这类

科学解释

远程命令执行漏洞,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码





概要

可能的远程执行代码在执行文件上传基于雅加达部分解析。

谁应该读这

所有的Struts 2的开发者和用户

安全漏洞的影响

可能减少执行文件上传时,基于雅加达部分解析

最高安全评级

推荐

升级struts 2.3.32struts 2.5.10.1

受影响的软件

struts 2.3.5 - struts 2.3.31,struts 2.5struts 2.5.10

记者

倪可正<<耐克点郑在dbappsecurity点com点cn >

CVE标识符

CVE 2017 - 5638

问题

它可以与恶意执行RCE攻击兴奋型价值。如果兴奋型这是用来显示一个错误信息给用户抛出的价值是不是有效的例外。

解决方案

如果您使用的是基于雅加达的文件上传部分解析器,升级到Apache Struts版本2.3.32或2.5.10.1。你也可以切换到一个不同的实施对多个分析器。

向后兼容性

没有向后兼容问题,预计。

解决方法

实现一个Servlet过滤器将验证兴奋型 and throw away request with suspicious values not matching multipart /形式的数据。