Apache Struts 2.3.X 系列版本中的 Showcase 應用程式存在允許攻擊者遠端執行任意程式碼之弱點(CVE-2017-9791),建議請儘速確認並進行修正!

【弱點說明】


Apache Struts 2是一個開放原始碼的Java EE網路應用程式的Web應用框架。

該弱點主要是在 Apache Struts 2.3.X 系列版本啟用 Struts 2 Struts 1外掛 (struct2-strust1-plugin.jar) 環境下, Showcase應用程式 (struct2-showcase.war)呼叫 struct2-strust1-plugin 時,攻擊者利用傳遞含有惡意字串的內容,造成可遠端執行任意程式碼。 


【建議措施】


  • 1.請確認網站主機是否使用 Apache Struts 2 的Web應用框架,若有使用則可再透過網站主機目錄中的「WEB-INF\lib\」資料夾內的Struts.jar檔確認當前使用的版本。
  • 2.請確認網站主機是否使用 Apache Struts 2的 Showcase應用程式,路徑:\struts2.3.x\apps\struts2-showcase.war。
  • 3.如所使用的 Apache Struts為上述(2.3.X)受影響之版本,則請更新官方網頁或官方Github所釋出最新之 Apache Struts 2.5.10的版本。
  • 4.若無使用的需求,請關閉 Showcase應用程式。