Apache Struts常见远程代码执行漏洞合集

  • A+
所属分类:安全文章

S2-037

概要

使用REST插件时,可以执行远程代码执行。

范围

所有Struts 2开发人员和用户

影响

远程执行代码

风险

建议

升级到Struts 2.3.29 

受影响的版本

Struts 2.3.20-Struts Struts 2.3.28.1

发现

Chao Jack PKAV_香草 jc1990999 at yahoo dot com

Bitforest Dot jp的Shinsaku Nomura nomura

CVE

CVE-2016-4438

S2-032

概要

method:启用动态方法调用后,可以通过前缀执行远程代码执行

范围

所有Struts 2开发人员和用户

影响

远程执行代码

风险

建议

如果可能,禁用动态方法调用。或者,升级到 Struts 2.3.20.3 Struts 2.3.24.3 Struts 2.3.28.1

受影响版本

Struts 2.3.20-Struts Struts 2.3.28(2.3.20.3和2.3.24.3除外)

发现

Nike Zheng Nike Dot Zheng在dbappsecurity dot com dot cn

CVE

CVE-2016-3081

S2-019

概要

默认情况下禁用动态方法调用

范围

所有Struts 2开发人员和用户

影响

动态方式执行

风险

重要

建议

开发人员应立即升级到Struts 2.3.15.2

受影响的版本

Struts 2.0.0-Struts 2.3.15.1

发现

HelloWorld安全团队[email protected]

CVE

CVE-2013-4316

S2-016

概要

通过操纵以“ action:” /“ redirect:” /“ redirectAction:”为前缀的参数而引入的漏洞允许远程执行命令

范围

所有Struts 2开发人员和用户

影响

远程命令执行

风险

建议

开发人员应立即升级到Struts 2.3.15.1

受影响的版本

Struts 2.0.0-Struts 2.3.15

发现

三井物产安全路线公司的寺田武(Takeshi Terada)

CVE

CVE-2013-2251

S2-013

概要

URLAnchor TagincludeParams属性中存在一个漏洞,允许远程执行命令

范围

所有Struts 2开发人员

影响

远程命令执行

风险

高危

建议

开发人员应立即至少升级到 Struts 2.3.14.2

受影响的版本

Struts 2.0.0-Struts 2.3.14.1

发现

Struts团队

CVE

CVE-2013-1966

S2-009

概要

ParameterInterceptor漏洞允许远程执行命令

范围

所有Struts 2开发人员

影响

远程命令执行

风险

危急

建议

开发人员应立即升级到Struts 2.3.1.2或仔细阅读以下解决方案说明,以进行配置更改以缓解漏洞。

受影响的版本

Struts 2.0.0-Struts 2.3.1.1

发现

Google安全团队Meder Kydyraliev

CVE

CVE-2011-3923

S2-005

概要

XWork ParameterInterceptors旁路允许远程执行命令

范围

所有Struts 2开发人员

影响

远程服务器上下文操作

风险

危急

建议

开发人员应立即升级到Struts 2.2.1或仔细阅读以下解决方案说明,以进行配置更改以缓解漏洞。

受影响的版本

Struts 2.0.0-Struts 2.1.8.1

JIRA原始

WW-3470XW-641

发现

Google安全团队Meder Kydyraliev

CVE

CVE-2010-1870

说明

http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html

S2-045

概要

基于Jakarta Multipart解析器执行文件上载时可能的远程执行代码。

谁应该读这个

所有Struts 2开发人员和用户

脆弱性的影响

基于Jakarta Multipart解析器执行文件上传时可能的RCE

风险

建议

升级到Struts 2.3.32Struts 2.5.10.1

受影响的版本

Struts 2.3.5-Struts 2.3.31,Struts 2.5- Struts 2.5.10

发现

Nike Dot Zheng

CVE

CVE-2017-5638

详情参考:https://cwiki.apache.org/confluence/dosearchsite.action?cql=siteSearch%20~%20%22s2%22%20AND%20type%20in%20(%22space%22%2C%22user%22%2C%22page%22%2C%22blogpost%22%2C%22attachment%22%2C%22com.atlassian.confluence.plugins.confluence-mail-archiving%3Amail%22)&includeArchivedSpaces=false

Apache Struts常见远程代码执行漏洞合集

本文始发于微信公众号(Ots安全):Apache Struts常见远程代码执行漏洞合集

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: