Apache Struts 2 Dynamic Method Invocation (DMI) 輸入驗證漏洞
最後更新
2016年04月28日 09:36
發佈日期:
2016年04月28日
1268
觀看次數
風險: 極高度風險
類型: 伺服器 - 互聯網應用伺服器
在 Apache Struts 2 發現漏洞。如果 Dynamic Method Invocation(DMI)已啟動,遠端攻擊者可透過傳送惡意字串,利用漏洞在目標伺服器執行任意程式碼。
注意:據 CNCERT/CC 報告,漏洞程式碼已被公開,亦得知涉及銀行、保險及電訊 機構系統的攻擊個案:
http://www.cert.org.cn/publish/main/9/2016/20160427071233907846865/20160427071233907846865_.html
影響
- 遠端執行程式碼
受影響之系統或技術
- Struts 2.3.20 - 2.3.28(2.3.20.3 及 2.3.24.3 除外)
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 升級至 Apache Struts 版本 2.3.20.3、2.3.24.3 或 2.3.28.1。
- 如果你已確定停用 Dynamic Method Invocation 不會影響應用系統運作,可考慮停用該功能。
漏洞識別碼
資料來源
相關連結
分享至