【漏洞预警】ST2-052之后 Apache Struts2 再爆远程代码执行漏洞(ST2-053)

  1、漏洞概述
  2017年9月7日,Apache Struts发布漏洞编号为CVE-2017-12611(S2-053)的安全漏洞,漏洞危害程度为中等(Moderate)。在Freemarker标记中使用表达式而不是字符串文字时,可能会发生远程执行代码攻击。
  2、漏洞影响
 
  3、问题分析
  当使用表达式文字或强制表达式在Freemarker标签(见下面的示例)使用请求值可能会导致RCE攻击。
  <@ s.hidden name =“redirectUri”value = redirectUri />
  <@ s.hidden name =“redirectUri”value =“$ {redirectUri}”/>
  在这两种情况下,值属性都使用可写属性,在这两种情况下,这都会造成Freemarker的远程代码执行。
  4、修复建议
  检查代码并清除易受攻击的构造。升级到Apache Struts版本2.5.13或2.3.34。
  并且建议不要在代码中使用这样的结构,或者使用只读属性来初始化value属性(仅限getter属性)。
http://jtskyq.com
http://5thid.net
http://chinamLotus.com
http://jsrfc.com
http://jzjxwL.com
http://suLiao360.net
http://2koL.net
http://boLLyworLd.net
http://gangkoujixie.net
http://jxxwbj.com
http://362304.com
http://sunnybabyshoes.com
http://bjxqfr.com
http://fmrui.com
http://mjwzz.com
http://ja-hoteLs.com
http://liliang.chinamlotus.com
http://pornmomtube.com
http://sadrc.com
http://Letyes.com
http://LineaLone.com
http://gzcityseo.com
http://uvzwx.com
http://bzn8.com
http://c-nagaLLery.com
http://Lfzsqc.com
http://aiqingyuLu.com
http://ytruihaidc.com
http://huijiayao.com
http://chyuxin.com
http://qsxh1314.com
http://cqyuding.com
http://chengqiugs.com
http://cjdnc.com
http://cht-tech.com
http://bfyxb.com
http://daofu88.com
http://happydyy.com