紧急预警:Struts2 S2-033最新高危漏洞官方修复方案不完整
6月4日消息 Apache Struts2在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码,此漏洞编号为CVE-2016-3087,定名为S2-033。国内安全厂商安恒信息透露,Apache发布Struts2 S2-033远程代码执行漏洞的修复方案经过安恒研究院研究人员的测试,确认该修复方案并不完整,依然会导致恶意攻击者对Struts2应用发起远程代码执行攻击。据E安全了解,发现此次Struts2漏洞修复方案无效的就是安恒研究院技术高手“Nike.zheng”,此前他曾向Apache官方提交了Struts 2高危安全漏洞(CVE-2016-3081,S02-32)。
Struts 2.3.20 – Struts 2.3.28 (不包括 2.3.20.3和 2.3.24.3)。
Struts 2.3.20.3、 2.3.24.3 或者 2.3.28.1。
安恒信息研究院通过分析安全公告中的修复版本根本对这个漏洞未做任何修补。官方安全公告中的最新版修复是无效的。
客户可以使用明鉴web应用弱点扫描器和网站安全监测平台在线更新策略来检测是否自身应用存在漏洞,也可以使用在线检测0day.websaas.com.cn进行检测。