关于海康威视部分iVMS平台软件存在Apache Struts2远程代码执行漏洞的安全公告

交通秩序管控子行业面向交通管理秩序部门，完成交通信号控制、道路组织优化、交通评价诊断、诱导信息发布、静态交通管理、重点车辆管控等重点业务内容。随着大数据、物联网等技术的大力发展，海康威视秩序管控系统在新技术赋能下，充分发挥信号机及前端物联感知设备的边缘节点、边缘域的数据感知、汇聚、处理、控制的优势，结合AI TRAFFIC 交通认知引擎能力、数据治理能力、精细化场景算法应用能力，建立边缘节点、边缘域、云中心分级统一的智能应用系统，实现交通问题发现、交通时空划分、信号配时优化、动态车道管理、交通效果评价、交通仿真推演、交通诱导与信息发布、动态限时停车、重点车辆管控等核心应用能力，支撑不同城市级别和管控需求的用户开展交通出行管理服务，让管理更高效、让道路更有序、让出行更美好。

公告编号：HSRC-201703-05

公告来源：海康威视安全应急响应中心

初始发布时间：2017-03-17

漏洞概述：

Apache Struts 2是世界上最流行的Java Web应用开发框架之一。由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞，攻击者可以在使用该插件上传文件时，修改 HTTP 请求头中的 Content-Type 值来触发该漏洞，导致远程执行代码。

更多漏洞详情可以参考Apache Struts2官网链接：https://struts.apache.org/docs/s2-045.html

漏洞编号：

CVE-2017-5638

影响版本和修复版本：

部分使用了Apache Struts2框架开发的iVMS平台软件。

临时规避方案：

删除WEB-INF目录下commons-fileupload-x.x.x.jar文件，但会造成平台软件上传功能不可用。

解决方案：

Apache Struts官方已在发布的新版本Struts 2.3.32和2.5.10.1中修复了该漏洞，详细修复方案请联系海康威视当地技术支持。

联系渠道：

关于海康威视产品和解决方案的安全问题，可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢！

关于海康威视部分iVMS平台软件存在Apache Struts2远程代码执行漏洞的安全公告

安全公告-海康威视部分iVMS平台软件存在Apache Struts2远程代码执行安全漏洞

获得更好的体验