Apache Struts 2 – 绿盟科技技术博客

【预警通告】Apache Struts 2 远程代码执行漏洞CVE-2018-11776

2018-08-23绿盟科技Apache Struts 2, CVE-2018-11776, RCE攻击, S2-057, 远程代码执行漏洞

北京时间8月22日13时，Apache官方发布通告公布了Struts2中一个远程代码执行漏洞（CVE-2018-11776）。该漏洞在两种情况下存在，第一，在xml配置中未设置namespace值，且上层动作配置（upper action(s) configurations）中未设置或用通配符namespace值。第二，使用未设置 value和action值的url标签，且上层动作配置（upper action(s) configurations）中未设置或用通配符namespace值。

【预警通告】Struts框架S2-056漏洞预警

2018-03-28绿盟科技Apache Struts 2, Apache Struts2 漏洞, struts 2, Struts2 漏洞

S2-056漏洞发生于Apache Struts2的REST插件，当使用XStream组件对XML格式的数据包进行反序列化操作，且未对数据内容进行有效验证时，攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。

【预警通告】Apache Struts2（S2-053）远程代码执行漏洞威胁预警通告

2017-09-07田泽夏Apache Struts 2, Apache Struts2 漏洞, Apache Struts2（S2-053）远程代码执行漏洞, Apache Struts2（S2-053）漏洞, CVE-2017-12611, CVE-2017-12611分析, CVE-2017-12611漏洞分析, S2-053, Struts2 插件远程代码执行技术分析, 绿盟威胁预警, 绿盟漏洞, 绿盟漏洞分析, 绿盟科技, 远程代码分析, 远程代码执行漏洞

2017年9月7日，Apache Struts发布最新的安全公告，Apache Struts 2 存在一个远程代码执行漏洞，漏洞编号为CVE-2017-12611（S2-053）。该漏洞源于在处理Freemarker标签时，如使程序员使用了不恰当的编码表达会导致远程代码执行。

相关链接如下：https://cwiki.apache.org/confluence/display/WW/S2-053