Struts 2 再曝远程代码执行漏洞

oschina
 oschina
发布于 2016年06月17日
收藏 11

今年4月份,Apache Struts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来。其利用代码很快就在短时间内迅速传播。而且官方针对这个高危漏洞的修复方案还是无效的。

悲剧的事情今天又再度发生了,这次发现的Struts 2新漏洞编号为CVE-2016-4438,该漏洞由国内PKAV团队-香草率先发现。这是又一个很严重的远程代码执行漏洞:使用REST插件的用户就会遭遇该问题。

有关该漏洞的详情如下:

Apache Struts 2  S2-037 远程代码执行

漏洞编号:CVE-2016-4438

漏洞危害:造成远程代码执行

漏洞等级:高危

影响版本:Apache struts  2.3.20  -  2.3.28.1 版本使用了REST插件的用户

修复方案:加入cleanupActionName进行过滤 或者 更新至官方struts2.3.29

FreeBuf百科:Struts 2

Apache Struts 2是世界上最流行的Java Web服务器框架之一,是Struts的换代产品:在Struts 1和WebWork的技术基础上,进行合并产生全新的Struts 2框架。Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制处理用户的请求,这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。

稿源:FreeBuf

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Struts 2 再曝远程代码执行漏洞
加载中

精彩评论

IdleMan
IdleMan
默默收获一大批肉鸡

最新评论(31

码上中国博客
码上中国博客
这个漏洞我们在安全机构发布漏洞警告时,就立即进行了实际测试,测试结果很爽啊,轻松利用漏洞进入系统,给大家提出来一个攻击代码,大家可以根据代码来尝试一下:
https://www.blog-china.cn/liuzaiqingshan/home/10/1488956570591
香草
香草
国内rest插件貌似使用不多
X
Xiao_f
ssh坑坏了无数java新手
七律断舍离
七律断舍离
又出漏洞了,我去。。。。
墨子Zhai
墨子Zhai

引用来自“slieery”的评论

JAX-RS+ bootstrap + jsrender开发,要什么web框架。Spring MVC, struts就第二选择吧!!

引用来自“linapex”的评论

没有拦截器,静态资源映射,这些鬼了
静态资源交给nginx吧。拦截器当然是的。
j
java_oschina

引用来自“slieery”的评论

我面试工作几年的人,从不问框架。只问基础方面的。
为啥?求科普.
大公司好像都这么玩
linapex
linapex

引用来自“slieery”的评论

JAX-RS+ bootstrap + jsrender开发,要什么web框架。Spring MVC, struts就第二选择吧!!
没有拦截器,静态资源映射,这些鬼了
鱼中鱼
鱼中鱼
这货还能说什么吗?
wkgcass
wkgcass
重写吧。别人软件更新版本刷屏叫版本帝,struts1/2是漏洞帝。。
凯撒大弚
凯撒大弚

引用来自“凯撒大弚”的评论

百万头草泥马呼啸而过!前天才刚完2.3.28.1,今天又刷新,你妹啊!!!
使用了REST插件的用户。。。阿弥陀佛
返回顶部
顶部