Apache Struts2 远程代码执行漏洞(S2-046)技术分析与防护方案

3月21日凌晨,Apache Struts2官方发布了一条安全公告,该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以通过设置Content-Disposition的filename字段或者设置Content-Length超过2G这两种方式来触发异常并导致filename字段中的OGNL表达式得到执行从而达到远程攻击的目的。
阅读全文 “Apache Struts2 远程代码执行漏洞(S2-046)技术分析与防护方案” »

【预警通告】Apache Struts2 远程代码执行漏洞(S2-046)

3月21日凌晨,Apache Struts2官方发布了一条安全公告,该公告指出Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,通过修改Content-Length头的值,并且在Content-Disposition 值中添加恶意代码,导致远程代码执行。 阅读全文 “【预警通告】Apache Struts2 远程代码执行漏洞(S2-046)” »