成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網綜合服務，包含不限于網站制作、成都網站建設、汨羅網絡推廣、小程序設計、汨羅網絡營銷、汨羅企業(yè)策劃、汨羅品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)為所有大學生創(chuàng)業(yè)者提供汨羅建站搭建服務，24小時服務熱線：028-86922220，官方網址：www.cdcxhl.com

話說今天早上，一個名為str2-045的漏洞成了大家的討論焦點，那么這個str2-045到底是個什么鬼？

這個漏洞的全名啊，叫做:基于 Jakarta plugin插件的Struts遠程代碼執(zhí)行漏洞。根據官方評價，這個漏洞屬于高危漏洞，他的漏洞編號是:CVE-2017-5638

那這個漏洞到底是怎么一回事呢？

惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞，進而執(zhí)行系統(tǒng)命令。

這個漏洞的利用，是有條件滴！這個漏洞需要通過Jakarta 文件上傳插件實現(xiàn)遠程利用該漏洞執(zhí)行代碼。

1.基于Jakarta（Jakarta Multipart parser）插件的文件上傳功能

2.惡意***者精心構造Content-Type的值

這個漏洞主要出現(xiàn)在:Struts 2.3.5 – Struts 2.3.31;Struts 2.5 – Struts 2.5.10這幾個版本

漏洞說明：

Apache Struts 2被曝存在遠程命令執(zhí)行漏洞，漏洞編號S2-045，CVE編號CVE-2017-5638，在使用基于Jakarta插件的文件上傳功能時，有可能存在遠程命令執(zhí)行，導致系統(tǒng)被******。

漏洞編號： 

CVE-2017-5638

漏洞名稱：

基于 Jakarta plugin插件的Struts遠程代碼執(zhí)行漏洞

官方評級：

高危

漏洞描述：

惡意用戶可在上傳文件時通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞，進而執(zhí)行系統(tǒng)命令。

漏洞利用條件和方式：

***通過Jakarta 文件上傳插件實現(xiàn)遠程利用該漏洞執(zhí)行代碼。

1.基于Jakarta（Jakarta Multipart parser）插件的文件上傳功能
2.惡意***者精心構造Content-Type的值

漏洞影響范圍： 

• Struts 2.3.5 – Struts 2.3.31

• Struts 2.5 – Struts 2.5.10
  

• Created by Lukasz Lenart, last modified yesterday at 01:14 PM