AI 助理
备案控制台
开发者社区 问答 正文

CVE-2013-2251 / Struts远程代码执行漏洞预警

Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。

描述

影响版本 Struts 2.0.0 - Struts 2.3.15

报告者 Takeshi Terada of Mitsui Bussan Secure Directions, Inc.

CVE编号 CVE-2013-2251
漏洞原理

The Struts 2 DefaultActionMapper supports a method for short-circuit navigation state changes by prefixing parameters with “action:” or “redirect:”, followed by a desired navigational target expression. This mechanism was intended to help with attaching navigational information to buttons within forms.

In Struts 2 before 2.3.15.1 the information following “action:”, “redirect:” or “redirectAction:” is not properly sanitized. Since said information will be evaluated as OGNL expression against the value stack, this introduces the possibility to inject server side code.
在阿里云上正在使用Struts的朋友,尽快升级到最新版。

展开
收起
enj0y 2013-07-18 14:30:35 9539 分享 版权

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

4 条回答
写回答
取消 提交回答
  • coderandroid
    不懂,求解释
    2013-07-18 19:38:25
    赞同 展开评论
  • cn0555
    还好用不到。
    2013-07-18 19:28:52
    赞同 展开评论
  • 超级马甲
    赶紧升级吧
    2013-07-18 18:59:59
    赞同 展开评论
  • 好好的
    不懂呀。
    2013-07-18 16:03:18
    赞同 展开评论
问答分类:
安全 Java
问答地址:
开发者社区 > 安全 > 问答
相关问答
ThinkPHP 5 <=5.0.22 远程代码执行高危漏洞
523
0
0
ECShop远程代码执行高危漏洞
872
2
0
【漏洞预警】ECShop2.x 远程代码执行高危漏洞
1909
0
0
【漏洞公告】CVE-2018-11776/S2-057:Struts 2远程命令执行漏洞
16934
2
0
【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞
18553
1
0
【漏洞公告】CVE-2017-12149:JbossAS 5.x/6.x 反序列化命令执行漏洞
14109
0
0
【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞
12152
1
0
【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
20452
1
0
【漏洞公告】CVE-2017-3143:BIND安全绕过漏洞
13202
2
0
【漏洞公告】CVE-2017-7494:Samba远程代码执行漏洞
5814
2
0