关注我们
安全通告
安全预警-海康威视部分iVMS平台软件存在Apache Struts2远程代码执行安全漏洞
时间:2017-03-17发布出处:

预警编号:HSRC-201703-05

公告来源:海康威视安全应急响应中心

初始发布时间:2017-03-17

漏洞概述:

Apache Struts 2是世界上最流行的Java Web应用开发框架之一。由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

更多漏洞详情可以参考Apache Struts2官网链接:https://struts.apache.org/docs/s2-045.html

漏洞编号:

CVE-2017-5638

影响版本和修复版本:

部分使用了Apache Struts2框架开发的iVMS平台软件。

临时规避方案:

删除WEB-INF目录下commons-fileupload-x.x.x.jar文件,但会造成平台软件上传功能不可用。

解决方案:

Apache Struts官方已在发布的新版本Struts 2.3.32和2.5.10.1中修复了该漏洞,详细修复方案请联系海康威视当地技术支持。

联系渠道:

关于海康威视产品和解决方案的安全问题,可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢!

©2013杭州海康威视数字技术股份有限公司 版权所有 浙ICP备200903225号 Powered by Mountor