Apache Struts 2 开源开发框架中出现严重漏洞 可导致远程代码执行

翻译：360代码卫士团队

周三，Apache Struts 2 开源开发框架发布更新，解决了可被用于执行远程代码的严重漏洞 CVE-2018-11776。

这个漏洞影响 Struts 2.3 至2.3.34、Struts 2.5 至2.5.16、以及可能不受支持的框架版本。

Struts 2.3.35 和 2.5.17已包含补丁。临时的缓解措施也已推出，不过 Struts 开发人员认为缓解措施“较弱”并建议用户尽快安装更新。

Struts 开发人员在安全公告中指出，“当没有为底层 xml 配置中定义的结果设置 namespace 的值时，同时，其上层操作配置未设置或使用通配符 namespace，就很可能执行远程代码执行攻击。当使用的 url 标签没有设置值和操作，同时其上部操作配置未设置或使用通配符 namespace 时，发生这种攻击的可能性也是一样的。”

该漏洞是由代码分析公司 Semmle 的研究员 Man Yue Mo发现的。该公司本周在全球上市，融资2100万美元。Semmle 已发布包含漏洞技术详情的博客文章。Semmle 公司指出，在4月10日将漏洞告知 Apache Struts 安全团队，后者在6月25日发布补丁。

Man Yue Mo 指出，这个漏洞影响可能遭暴露的常见的 Struts 端点，从而为恶意黑客提供了一个攻击向量。重要的一点是，这个弱点和 Struts OGNL 语言相关，而这是黑客非常熟悉的内容，且在之前曾被利用。

他还解释称，“攻击者能将自己的 namespace 作为一个参数注入到 HTTP 请求中，从而攻击易受攻击的应用程序。这个参数的值未得到 Struts 框架的验证，而且可能是任何 OGNL 字符串。OGNL 是一种强大的特定域语言，用于定制化 Apache Struts 的行为。”

Semmle 仅公开有限的详情以阻止漏洞遭恶意利用。去年，该公司曾发现了另外一个最终遭在野利用的 Apache Struts 漏洞。Man Yue Mo 指出这次发现的漏洞更为严重。

Apache Struts 漏洞可为组织机构带来严重风险。影响该框架的某个缺陷曾在大规模的 Equifax 数据泄露中遭利用，影响人数超过 1.4 亿人。

原文链接

https://www.securityweek.com/critical-apache-struts-2-flaw-allows-remote-code-execution

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。