安全研究

漏洞描述

Struts2是一個基于MVC設計模式的Web應用框架，它本質上相(xiàng)當于一個servlet，在MVC設計模式中，Struts2作爲控制器(Controller)來建立模型與視圖的數據交互。
Apache Struts2存在S2-057遠(yuǎn)程代碼執行漏洞，當定義xml配置時，namespace沒有設置，并且上層操作沒有設置或者使用的是通配符namespace時，可(kě)能導緻遠(yuǎn)程命令執行，當使用沒有設置value和action的url标簽的時候也會導緻相(xiàng)同的漏洞。

漏洞評級

高危

影(yǐng)響範圍

1、定義XML配置時namespace值未設置且上層動作配置（Action Configuration）中未設置或用通配符namespace可(kě)能會導緻遠(yuǎn)程代碼執行。
2、url标簽未設置value和action值且上層動作未設置或用通配符namespace可(kě)能會導緻遠(yuǎn)程代碼執行。
影(yǐng)響版本：
Apache Struts2 >=2.3，<=2.3.34
Apache Struts2 >=2.5，<=2.5.16。

修複建議(yì)

1、請(qǐng)盡快(kuài)升級到Apache Struts版本2.3.35或2.5.17，因爲它們還(hái)包含關鍵的主動性整體安全方面的改進。
2、驗證您是否以namespace爲基礎，将xml配置文件(jiàn)中的所有已定義結果設置。同時要驗證在你的JSP文件(jiàn)中已經給所有url标簽設置value或者action。
3、已部署使用帕拉迪下一代WEB應用防護系統NGWAF的客戶，利用專有的動态建模技術，無須升級安全策略即完美攔截利用該漏洞的攻擊。