转载

漏洞预警：Struts2 devMode导致远程代码执行漏洞

上个月月中Struts2的漏洞预警才出，这次最新的远程代码执行漏洞已经马不停蹄地赶来了。不过 这次的漏洞，发生在devMode模式下 ——先前官方就已经告知用户，需要在网站正式上线前将devMode关闭，所以相关devMode模式下的漏洞提交已不再获得官方确认。

当Struts2开启devMode模式时，将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时，可远程执行任意命令，包括关机、建立新用户、以及删除服务器上所有文件等等。

什么是devMode？

所谓的devMode模式，看名称也知道，是为Struts2开发人员调试程序准备的，在此模式下可以方便地查看日志等信息。默认情况下，devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式，自然面临更大的安全问题，需要尽快修复。

当Struts开启devMode时，该漏洞将影响Struts 2.1.0–2.5.1，通杀Struts2所有版本。

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

豆瓣： http://t.cn/R5kzw3t

启明： http://t.cn/R5kzzEf

目前网藤风险感知系统（ crs.vulbox.com ）已支持该漏洞检测。您可以免费申请试用网藤漏洞感知服务。

* 转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

原文 http://www.freebuf.com/news/108924.html

正文到此结束

所属分类：编程技术

本文标签： 调试 src UI 开发安全 value 网站 XML constant HTML Service 代码免费服务器漏洞删除 web 黑客 http
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。