Struts2一波未平,一波又起。本次漏洞发生在devMode模式下——先前官方就已经告知用户,需要在网站正式上线前将devMode关闭,所以相关devMode模式下的漏洞提交已不再获得官方确认。
所谓的devMode模式,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。
默认情况下,devMode模式是关闭的,不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。
当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
当Struts开启devMode时,该漏洞将影响Struts 2.1.0--2.5.1,通杀Struts2所有版本。
• 关闭devMode:在struts.xml 设置:
<constant name="struts.devMode" value="false">
• 使用漏洞盒子及网藤风险感知提供预警与检测。
• 豆瓣:http://t.cn/R5kzw3t
• 启明:http://t.cn/R5kzzEf
原文始发于微信公众号(漏洞盒子VulBox):【预警】Struts2 devMode导致远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论