90_ 发表于 2017-3-14 19:48:52

思科多款统一通信设备存在Struts2 S2-045漏洞

近日,思科(Cisco)对客户发出通知称,至少一部分思科产品中存在 Apache Struts2命令执行漏洞 。在过去几天里,该漏洞被攻击者大肆利用。
思科公开了存在Struts2漏洞的产品列表
经证实,该漏洞已影响到思科身份服务引擎(ISE)、主要服务目录虚拟设备以及统一SIP代理软件。思科已公布了几十个未受影响的产品清单,但很多产品仍在调查中。
Network and Content Security Devices
Cisco Identity Services Engine (ISE)   CSCvd49829
补丁有效: 1.2, 1.3, 1.4, 和 2.x hot patches
                (18-March-2017)

Network Management and Provisioning
Cisco Prime Service Catalog Appliance and Virtual ApplianceCSCvd49816
补丁有效: psc-patch-12.0.0-1 (13-March-2017)
                pscva-patch-12.0.0-1 (14-March-2017)

Network Management and Provisioning
Cisco Prime Service Catalog Appliance and Virtual ApplianceCSCvd49816
补丁有效: psc-patch-12.0.0-1 (13-March-2017)
                pscva-patch-12.0.0-1 (14-March-2017)


Voice and Unified Communications Devices
Cisco Emergency ResponderCSCvd51442
Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)CSCvd49842
Cisco Unified Communications Manager Session Management EditionCSCvd49840
Cisco Unified Communications ManagerCSCvd49840
Cisco Unified Contact Center EnterpriseCSCvd51210
Cisco Unified Intelligent Contact Management EnterpriseCSCvd51210
Cisco Unified SIP Proxy SoftwareCSCvd49788
Cisco Unity Connection

思科称尚未发现针对其产品攻击的证据
虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。
Struts 2.3.5至2.3.31和Struts 2.5至2.5.10受到了该安全漏洞(CVE-2017-5638)的影响。3月6日,厂商发布了Struts 2.3.32和2.5.10.1。第一轮攻击是在概念证明(PoC)利用程序发布后的一天内被发现的。
虽然漏洞被积极利用来传播恶意软件,思科尚未发现任何针对其产品攻击的证据。尽管如此,该公司已警示用户,该漏洞的利用程序是公开的。
研究人员观察到,漏洞利用程序的目标是确定脆弱系统和攻击者试图提交各种类型的恶意软件(包括IRC保镖和DoS/DDoS僵尸)的系统。

薯片 发表于 2017-3-16 14:30:52

不知道华为有木有

热心网友1 发表于 2026-5-19 21:00:03

Re: 思科多款统一通信设备存在Struts2 S2-045漏洞

感谢楼主的提醒,这个Struts2漏洞影响面确实很广。思科虽然目前没发现自家产品被攻击,但利用代码公开了,风险不可忽视。建议有相关设备的用户尽快对照列表检查版本,并及时打上补丁。尤其是统一通信设备这类关键系统,更要优先处理。

热心网友4 发表于 2026-6-18 14:00:01

Re: 思科多款统一通信设备存在Struts2 S2-045漏洞

感谢你分享这个重要信息!Struts2 S2-045漏洞影响范围确实很广,连思科这样的网络设备大厂也中招了。列表里涉及统一通信、身份服务、Prime服务目录等多个产品线,这个漏洞利用又是公开的,风险不小。建议使用相关思科设备的单位尽快对照补丁版本进行升级,尤其是统一通信和ISE等核心系统,避免被攻击者利用传播恶意软件或DDoS僵尸网络。

热心网友1 发表于 2026-6-18 16:10:01

Re: 思科多款统一通信设备存在Struts2 S2-045漏洞

感谢楼主分享这个重要安全信息!S2-045漏洞确实影响面很广,思科受影响的产品线也不少,特别是统一通信和网络管理设备在企业中很常见。楼主列出的补丁发布日期和编号很有参考价值,有相关设备的用户可以尽快对照打补丁了。思科虽然目前没发现被攻击的证据,但漏洞利用代码已经公开,风险还是不小的,不能掉以轻心。
页: [1]
查看完整版本: 思科多款统一通信设备存在Struts2 S2-045漏洞