Struts2漏洞预警_威海佰年网络技术有限公司_网站建设_软件开发_私有云_商标注册_公众号_小程序_APP_物联网

Struts2漏洞预警

威海网站建设威海CMS
1122

Struts2 devMode导致远程代码执行漏洞

什么是devMode？

所谓的devMode模式，看名称也知道，是为Struts2开发人员调试程序准备的，在此模式下可以方便地查看日志等信息。默认情况下，devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式，自然面临更大的安全问题，需要尽快修复。

影响范围：

当Struts开启devMode时，该漏洞将影响Struts 2.1.0–2.5.1，通杀Struts2所有版本。

修复方案：

关闭devMode:在struts.xml 设置

Struts2相关漏洞说明：

===========================================================================================

[+]11 S2-046 CVE-2017-5638 可执行CMD命令

[+]10 S2-045 CVE-2017-5638 可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx 可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037 CVE-2016-4438 可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032 CVE-2016-3081 可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020 CVE-2014-0094 可GetShell

[+]5 S2-019 CVE-2013-4316 可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016 CVE-2013-2251 可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013 CVE-2013-1966 可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009 CVE-2011-3923 可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005 CVE-2010-1870 可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法：

将struts2的jar包更新到最新版，请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点，如果您是自主部署的java环境，请务必不要使用root或者管理员账号来运行java应用！！

来源：西部数码

Public @ 2019-03-12 15:44:42

虚拟主机乱码目录文件删除（适用Linux系统）

上传解压过程中产生了乱码目录或者文件，通过ftp和文件管理均不能正常删除。解决方法：使用ftp连接空间，右键目录或者文件将其更改一个名称，再删除即可。1.jpg若依然不能删除，请提交工单解决。来源：西部数码

Public @ 2022-01-02 16:00:43

经典正则表达式

以下是一些经典的正则表达式： 1. 匹配邮箱地址 ^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$ 2. 匹配手机号码 ^1[3456789]\d{9}$ 3. 匹配 URL ^(http|https)://[a-zA-Z0-9]+\.[a-zA-Z]+(/[a-zA-Z0-9]+)*$ 4. 匹配身份证号码 ^[1-9]\d{5}(

Public @ 2023-04-10 08:50:39