思科旗下的安全团队Talos在本周提出警告称已经有少量的攻击者开始利用Apache Strust2的漏洞展开攻击。
Apache Strust2是用来建立现代化Java网络应用的开源代码框架,其已经发布
补丁来修复CVE-2017-5638。
编号为CVE-2017-5638的高危漏洞允许攻击者将恶意内容上传到藏匿该漏洞的某个解析器上即可远程执行。
其实在这个漏洞修复前网上就已经出现了零散的针对该漏洞的攻击,不过这些攻击大多数都只是用来探测的。
鉴于该漏洞的PoC预计在下周就会公布了,届时有关攻击程序自然会开始大规模的对该漏洞进行开采和利用。
在此也特别建议使用Apache Strust2的开发者立即更新软件版本封堵掉这枚漏洞,避免遭到攻击者的袭击。
相关内容:
Apache Strust2 Documents S2-045(CVE-2017-5638)
Apache Struts 2.5.10.1 / 2.3.32 Download(Bug Fixed)