高危 Struts2最新命令执行漏洞
WASC Threat Classification
- 发现时间:
-
2013-07-17
- 漏洞类型:
-
其他
- 所属建站程序:
-
Struts
- 所属服务器类型:
-
通用
- 所属编程语言:
-
Java
- 描述:
-
目标站点存在命令执行漏洞。
1. 命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令。
+ 展开
- 危害:
- 可被攻击者用来执行任意命令,写入后门等,进而完全控制服务器,危害巨大。
- 解决方案:
-
1. 升级至官方最新版本,可参考:http://struts.apache.org/release/2.3.x/docs/s2-016.html。
2. 临时解决方案,添加rewrite规则:
location ~* ^/
if ($args ~* "redirect:") {{
return 403;
}
if ($args ~* "action:") {
return 403;
}
if ($args ~* "redirectAction:") {
return 403;
}
proxy_pass http://$host.internal$request_uri;}
如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载