Struts2 S2-057远程代码执行漏洞预警

admin

138674
文章

114
评论

2022年4月9日23:47:11评论26 views字数 516阅读1分43秒阅读模式

S2-057远程代码执行漏洞预警

安全漏洞公告

2018年8月22日，Struts2官方公布最新的Struts2远程代码执行漏洞S2-057，在一定条件下，该漏洞允许攻击者远程执行代码，存在高危风险。

漏洞简介

当在Struts2开发框架中使用泛namespace功能的时候，并且使用特定的result可能产生远程代码执行漏洞。

漏洞详情

危害等级：高危

CVE编号：CVE-201811776

漏洞类型：远程代码执行

影响范围

Struts 2.3-Struts 2.3.34

Struts 2.5-Struts 2.5.16

处置建议

升级到Struts2 2.3.35或Struts2 2.5.17

临时解决方案：

验证您是否已namespace为基础xml配置中的所有已定义结果设置（并且始终不会忘记设置）（如果适用）。还要验证您是否已设置（并且始终不会忘记设置）value或JSP中的action所有url标记。仅当它们的上部动作配置没有或通配符时才需要它们namespace。

关注我们

长按识别二维码

了解更多网络安全应急预警相关资讯

原文始发于微信公众号（嘉诚安全）：Struts2 S2-057远程代码执行漏洞预警

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞复现 || Vite import存在任意文件读取漏洞

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

本文由 admin 发表于 2022年4月9日23:47:11
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Struts2 S2-057远程代码执行漏洞预警https://cn-sec.com/archives/882052.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

Struts2 S2-057远程代码执行漏洞预警

漏洞复现 || Vite import存在任意文件读取漏洞

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

发表评论

在线咨询

微信