Semmle 安全研究員 Man Yue Mo 近日披露了一個存在于流行的 Apache Struts Web 應用框架中的遠程執(zhí)行代碼漏洞，可能允許遠程攻擊者在受影響的服務器上執(zhí)行惡意代碼。該漏洞編號為 CVE-2018-11776 ，被歸類為高危漏洞，是由于在某些配置下對 Struts 框架核心中用戶提供的不可信輸入的驗證不充分而產(chǎn)生。它會在兩種情況下容易被觸發(fā)：

• Struts 配置中的 alwaysSelectFullNamespace 標志設置為 true 。

• Struts 配置文件包含 “action” 或 “url” 標記，該標記未指定可選的 namespace 屬性或指定通配符命名空間。

據(jù)悉，使用 Apache Struts 2.3~2.3.34 和 2.5~2.5.16 版本，以及一些已經(jīng)停止支持的 Struts 版本的所有應用都可能容易受此漏洞攻擊，Apache Struts 團隊在收到反饋后，已于前兩天發(fā)布的 2.3.35 和 2.5.17 中進行了修復，并建議用戶盡快升級。

這不是 Semmle 安全研究團隊第一次報告 Apache Struts 的高危 RCE 漏洞。不到一年前，該團隊披露了在 Apache Struts 中類似的遠程執(zhí)行代碼漏洞（CVE-2017-9805）。