近日,著名J2EE框架——Struts2被发现存在远程代码执行的严重漏洞,目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。
据悉,该漏洞影响范围极广,涉及Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10多个版本。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。
建议提前做好该严重漏洞的应急准备工作,可将版本更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防护设备进行防护。鉴于此漏洞影响范围极广,危害严重,为保障两会时期网站平稳运行,中国科大-中国电子信息安全服务联合实验室(联系方式:18956085567)可以协助所有受此漏洞影响网站进行快速检测并提供加固建议。
简单的讲就是如果你用struts2架构,黑客就可以利用该漏洞在你的服务器上执行任意系统命令,从而进行网页篡改等。
经信委信安处发
