Struts2重大漏洞CVE-2017-5638：远程代码执行风险

本文档主要探讨了Struts2框架中发现的一个严重漏洞，编号为S2-045，CVE编号为CVE-2017-5638。此漏洞被安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现，涉及Struts 2.3.5至2.3.31及Struts 2.5至2.5.10的版本。漏洞的关键在于远程代码执行功能，黑客可以利用这个漏洞在受害服务器上通过浏览器执行任意系统命令，从而导致一系列严重安全问题。 漏洞分析深入到了Struts2的filter机制，特别是对文件类型表单的处理过程。当用户提交含有文件的表单时，系统会自动将request对象增强为MultiPartRequestWrapper，这个过程中涉及到对请求内容的解析。然而，当上传文件的content-type不合法时，解析过程会抛出异常。异常处理代码误将异常信息视为OGNL（Object-Graph Navigation Language）表达式，导致恶意代码被执行。 攻击者可以通过构造恶意的content-type字段，嵌入可执行的OGNL代码片段，实现对目标服务器的控制。这种设计缺陷使得系统对输入验证不足，给攻击者提供了执行恶意操作的入口。 为了防止此类漏洞的影响，建议采取以下措施进行修复： 1. 升级Struts2框架到最新版本，确保已安装的安全补丁。 2. 删除可能引入安全隐患的fileupload.jar文件，减少不必要的组件。 3. 配置过滤器以加强输入验证，避免异常情况下的代码执行。 CVE-2017-5638是Struts2框架的一个高风险漏洞，开发者和运维人员需密切关注并及时采取行动，以保护系统的安全性。同时，提升用户教育，使他们了解此类攻击的可能性，也是防范这类漏洞的重要环节。