标签: Apache Struts2

思科发布多个产品的漏洞警报 其中包括Apache Struts2带来的安全问题

思科于周三发布了30份关于其产品中发现的漏洞的安全建议。其中一半是针对影响大的严重漏洞。只有三个警报涉及具有关键影响的安全问题; 其中包括Apache Struts中最近公开的远程代码执行漏洞,其中存在多个概念验证漏洞  。思科指出  ,由于他们使用该库的方式,并非所有包含受影响的Struts库的产品都容易受到攻击。只有一个受此漏洞影响的思科产品收到了补丁,其他思科产品正在等待未来几周的更新或等待固定软件版本的发布。[……]

继续阅读

Apache Struts2 远程代码执行漏洞(S2-057) 技术分析与防护方案

北京时间2018年8月22日,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(CVE-2018-11776,CNVD-2018-15894,CNNVD-201808-740)。该漏洞在两种情况下存在,第一,当xml配置中未设置namespace 值,且上层动作配置(action(s) configurations)中未设置或使用通配符namespace值时,可能导致远程代码执行漏洞的发生。第二,使用未设置 value和action值的url标签,且上层动作配置中未设置或使用通配符namespace值,同样可能导致远程代码执行。[……]

继续阅读