标签： Struts2漏洞

Struts2 S2-048  远程代码执行漏洞分析报告 杭州安恒信息技术有限公司 2017年7月7日 安全通告 尊敬的客户: 2017年7月7日，Struts2官方公布最新的Struts2远程代码执行漏洞S2-048，在一定条件下，该漏洞允许攻击者远程执行代码。安恒信息应急响应中心启动“黄色”预警预案。 目前，安恒信息的WAF、玄武盾都已升级检测规则，可以有效防护该漏洞。网站安全监测平台、Web...

今天下午下班后，游侠看到网上爆出了Struts 2的最新漏洞——S2-048。描述：Showcase插件ActionMessage类中，通过构建不可信的输入实现远程命令攻击，存在安全风险。 然后……微博、微信朋友圈，就被刷屏了……我们来仔细看看，利用条件： 1、Struts版本：Struts 2.3.x 2、有Struts 1的Showcase 相信经过了前一段各种漏洞的“洗礼”，如S2-045等...

相信大家对前几天S2-045的漏洞还记忆犹新……然而，似乎Struts 2似乎并不太想放过我们这些苦逼的网络安全、IT运维人员……今天居然又爆出了S2-046！没看错，级别依然是和S2-045一样的“Critical”！

近日，国家信息安全漏洞库（CNNVD）收到杭州安恒信息技术有限公司（CNNVD一级技术支撑单位）关于Apache Struts2 （S2-045）远程代码执行漏洞（CNNVD-201703-152）的情况报送。由于该漏洞影响范围广，危害级别高，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析。

安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045，CVE编号：cve-2017-5638)，并定级为高危风险。

近日，国家信息安全漏洞共享平台收录了Apache Struts2 S2-037远程代码执行漏洞。远程攻击者利用漏洞在安装部署了REST插件的Struts 2服务器上远程执行指令，取得服务器控制权限。由于利用代码已经公开，建议用户紧急升级最新的Apache 2.3.29版本防范潜在的攻击。

这两天，Struts 2又爆出了新漏洞，相信各位安全圈同仁、各位关注安全圈的朋友，都已经知道了——S2-032这个大杀器！那么，这个漏洞到底有多厉害呢？来个乌云漏洞平台的图看看吧！

Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。

Struts这个漏洞这次来势之所以这么凶猛--直接导致很多大型网站都被黑掉了----和Struts官方不负责任的态度有很大关系。官方在漏洞公告中直接把漏洞利用代码给贴出来了，这很罕见。

近日，安恒信息安全小组发现Apache Struts2导致大量使用此框架的网站沦陷，Apache Struts2 框架是在2010年7月14日被发现存在一个严重命令执行漏洞，但随之出现了防范技术，最近随着struts2带回显功能的POC被公布，出现大量的利用工具，并导致大量使用此框架的网站沦陷，并呈扩散趋势。 我们先来了解一下Apache Struts2，Struts2是在struts 和WebW...