2018年8月22日,阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache官方發(fā)布了安全更新,披露了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞S2-057。
漏洞描述
定義XML配置namespace值為通配符(“/*”),或在上層action中namespace值缺省時(shí)可能會(huì)導(dǎo)致web應(yīng)用遠(yuǎn)程代碼執(zhí)行漏洞。
如下兩種配置存在漏洞:
a2.action
a2.action