关于海康威视部分iVMS平台软件存在Apache Struts2远程代码执行漏洞的安全公告

安全公告-海康威视部分iVMS平台软件存在Apache Struts2远程代码执行安全漏洞

公告编号:HSRC-201703-05

公告来源:海康威视安全应急响应中心

初始发布时间:2017-03-17

漏洞概述:

Apache Struts 2是世界上最流行的Java Web应用开发框架之一。由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。

更多漏洞详情可以参考Apache Struts2官网链接:https://struts.apache.org/docs/s2-045.html

漏洞编号:

CVE-2017-5638

影响版本和修复版本:

部分使用了Apache Struts2框架开发的iVMS平台软件。

临时规避方案:

删除WEB-INF目录下commons-fileupload-x.x.x.jar文件,但会造成平台软件上传功能不可用。

解决方案:

Apache Struts官方已在发布的新版本Struts 2.3.32和2.5.10.1中修复了该漏洞,详细修复方案请联系海康威视当地技术支持。

联系渠道:

关于海康威视产品和解决方案的安全问题,可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢!

联系我们
进入微信小程序,随时了解产品信息

获得更好的体验

您正在使用IE浏览器,我们建议您切换以下浏览器阅览