Apache软件基金会为Apache Struts发布了一个安全更新,以解决Commons FileUpload 库中可能导致远程代码执行的一个漏洞。我们建议立即更新相应软件版本。
漏洞概述
2018年11月5日(北美时间),Apache软件基金会(ASF)向Apache Struts项目管理员发布了关于CVE-2016-100031漏洞的安全公告,这是2016年初由Tenable研究团队报告的Commons FileUpload 库中的一个高危漏洞。这个库作为Apache Struts 2的一部分,被用作文件上传的默认机制。ASF报告说,Apache Struts 2.3.36及之前的版本是易受攻击的。远程攻击者可以使用此漏洞在运行易受攻击的Apache Struts版本的公开网站上获得远程代码执行能力。
漏洞危害
通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。
受影响范围
Apache Struts 2.3.36及之前的版本
Commons FileUpload 库1.3.3之前的版本
修复建议
ASF确认Apache Struts 2.5.12及以上版本,包括Commons FileUpload库的修补版本1.3.3都已经修复此漏洞。如果可能的话,Apache Struts项目管理员应该尽快升级到2.5.12及以上版本。ASF还注释,通过简单地将WEB-INF/lib路径中的JAR文件替换为固定版本,可将Commons FileUpload库的已修补版本放入已经部署的项目中。基于Maven的Struts项目可以通过添加以下依赖性来解决此漏洞: