设为首页 - 加入收藏 - 网站地图 SecYe安全 Www.SecYe.Com - 国内网络信息安全IT技术门户网
当前位置:首页 > 安全中心 > 最新漏洞 > 正文

struts2 漏洞CVE-2017-5638 S2-046 注意后面的编号不一样 已经升级2.3.32或者2.5.10

时间:2017-03-21 10:30 来源:本站整理 作者:SecYe安全 阅读:

3月8日, struts2 漏洞分析与防护方案 CVE-2017-5638 S2-045 ,今天又爆出一个漏洞。不过不用惊慌,这个漏洞跟前两天的s2-045漏洞的CVE编号(CVE-2017-5638)是一样的,只是攻击利用时候的攻击字段发生了改变。如果已经按照s2-045漏洞的升级要求升级到2.3.32或者2.5.10.1的话,就不受影响了。

  相关链接如下:

  https://struts.apache.org/docs/s2-046.html

  S2-046漏洞描述

 

  It is possible to perform a RCE attack with a malicious Content-Disposition value or with improper Content-Length header. If the Content-Dispostion / Content-Length value is not valid an exception is thrown which is then used to display an error message to a user. This is a different vector for the same vulnerability described in S2-045 (CVE-2017-5638).

  S2-046漏洞解决方案

  如果使用 Jakarta based file upload Multipart parser, 升级到 Apache Struts version 2.3.32 or 2.5.10.1.

 

  如果转载,请注明出处及本文链接:

  http://toutiao.secjia.com/struts2-vulnerability-cve-2017-5638-s2-046

本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)

点击复制链接 与好友分享!

顶一下
(0)
0%
踩一下
(0)
0%