背景介绍
Struts2的使用范围及其广泛,国内外均有大量厂商使用该框架。
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。
漏洞描述
使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞。
漏洞影响
攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。
POC
暂未公布
修复建议
如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。您也可以切换到Jakarta插件的不同实现。