S2-037
概要
使用REST插件时,可以执行远程代码执行。
|
范围 |
所有Struts 2开发人员和用户 |
|---|---|
|
影响 |
远程执行代码 |
|
风险 |
高 |
|
建议 |
升级到Struts 2.3.29。 |
|
受影响的版本 |
Struts 2.3.20-Struts Struts 2.3.28.1 |
|
发现 |
Chao Jack PKAV_香草 jc1990999 at yahoo dot com Bitforest Dot jp的Shinsaku Nomura nomura |
|
CVE |
CVE-2016-4438 |
S2-032
概要
method:启用动态方法调用后,可以通过前缀执行远程代码执行。
|
范围 |
所有Struts 2开发人员和用户 |
|---|---|
|
影响 |
远程执行代码 |
|
风险 |
高 |
|
建议 |
如果可能,禁用动态方法调用。或者,升级到 Struts 2.3.20.3 ,Struts 2.3.24.3或 Struts 2.3.28.1。 |
|
受影响版本 |
Struts 2.3.20-Struts Struts 2.3.28(2.3.20.3和2.3.24.3除外) |
|
发现 |
Nike Zheng Nike Dot Zheng在dbappsecurity dot com dot cn |
|
CVE |
CVE-2016-3081 |
S2-019
概要
默认情况下禁用动态方法调用
|
范围 |
所有Struts 2开发人员和用户 |
|---|---|
|
影响 |
动态方式执行 |
|
风险 |
重要 |
|
建议 |
开发人员应立即升级到Struts 2.3.15.2 |
|
受影响的版本 |
Struts 2.0.0-Struts 2.3.15.1 |
|
发现 |
HelloWorld安全团队[email protected] |
|
CVE |
CVE-2013-4316 |
S2-016
概要
通过操纵以“ action:” /“ redirect:” /“ redirectAction:”为前缀的参数而引入的漏洞允许远程执行命令
|
范围 |
所有Struts 2开发人员和用户 |
|---|---|
|
影响 |
远程命令执行 |
|
风险 |
高 |
|
建议 |
开发人员应立即升级到Struts 2.3.15.1 |
|
受影响的版本 |
Struts 2.0.0-Struts 2.3.15 |
|
发现 |
三井物产安全路线公司的寺田武(Takeshi Terada) |
|
CVE |
CVE-2013-2251 |
S2-013
概要
URL和Anchor Tag的includeParams属性中存在一个漏洞,允许远程执行命令
|
范围 |
所有Struts 2开发人员 |
|---|---|
|
影响 |
远程命令执行 |
|
风险 |
高危 |
|
建议 |
开发人员应立即至少升级到 Struts 2.3.14.2 |
|
受影响的版本 |
Struts 2.0.0-Struts 2.3.14.1 |
|
发现 |
Struts团队 |
|
CVE |
CVE-2013-1966 |
S2-009
概要
ParameterInterceptor漏洞允许远程执行命令
|
范围 |
所有Struts 2开发人员 |
|---|---|
|
影响 |
远程命令执行 |
|
风险 |
危急 |
|
建议 |
开发人员应立即升级到Struts 2.3.1.2或仔细阅读以下解决方案说明,以进行配置更改以缓解漏洞。 |
|
受影响的版本 |
Struts 2.0.0-Struts 2.3.1.1 |
|
发现 |
Google安全团队Meder Kydyraliev |
|
CVE |
CVE-2011-3923 |
S2-005
概要
XWork ParameterInterceptors旁路允许远程执行命令
|
范围 |
所有Struts 2开发人员 |
|---|---|
|
影响 |
远程服务器上下文操作 |
|
风险 |
危急 |
|
建议 |
开发人员应立即升级到Struts 2.2.1或仔细阅读以下解决方案说明,以进行配置更改以缓解漏洞。 |
|
受影响的版本 |
Struts 2.0.0-Struts 2.1.8.1 |
|
JIRA原始 |
WW-3470,XW-641 |
|
发现 |
Google安全团队Meder Kydyraliev |
|
CVE |
CVE-2010-1870 |
|
说明 |
http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html |
S2-045
概要
基于Jakarta Multipart解析器执行文件上载时可能的远程执行代码。
|
谁应该读这个 |
所有Struts 2开发人员和用户 |
|---|---|
|
脆弱性的影响 |
基于Jakarta Multipart解析器执行文件上传时可能的RCE |
|
风险 |
高 |
|
建议 |
升级到Struts 2.3.32或Struts 2.5.10.1 |
|
受影响的版本 |
Struts 2.3.5-Struts 2.3.31,Struts 2.5- Struts 2.5.10 |
|
发现 |
Nike Dot Zheng |
|
CVE |
CVE-2017-5638 |
详情参考:https://cwiki.apache.org/confluence/dosearchsite.action?cql=siteSearch%20~%20%22s2%22%20AND%20type%20in%20(%22space%22%2C%22user%22%2C%22page%22%2C%22blogpost%22%2C%22attachment%22%2C%22com.atlassian.confluence.plugins.confluence-mail-archiving%3Amail%22)&includeArchivedSpaces=false
本文始发于微信公众号(Ots安全):Apache Struts常见远程代码执行漏洞合集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论