風險等級: | 高度威脅 | |
摘 要: |
若執行特定配置的 Struts 伺服器造訪惡意網頁時,就可能觸發弱點,導致遠端程式攻擊。 |
|
影響系統: |
|
|
解決辦法: |
請參考 Apache Software Foundation 網站下載更新至建議最新版本 |
|
細節描述: |
此一編號為 CVE-2018-11776 的安全弱點被歸類為重大(Critical)弱點,它會在兩種情況下被觸發, 一是當 XML 配置中未設定命名空間(Namespace),同時上層動作 (Action) 配置沒有或使用通配符號 (Wildcard) 命名空間時, 其次是所使用的 URL 標籤沒有設定動作 (Action) 與值 (Value),同時上層動作配置沒有或使用通配符號命名空間時,就可能允許駭客執行遠端程式攻擊。 |
|
參考資訊: | Apache軟體基金會修補Struts 2的遠端程式攻擊弱點(2018/08/24) US-CERT(2018/08/22) TheHackernews(2018/08/22) |