`

Struts2被曝重要漏洞,波及全系版本

    博客分类:
  • Java
 
阅读更多

Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。



该版本修复的主要安全漏洞如下:

1.  通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下:

代码 复制代码
  1. http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  
  2.   
  3. http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  
  4.   
  5. http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}  
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}






2.  通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:

代码 复制代码
  1. http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/  
  2.   
  3. http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23  
http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/

http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23





详细漏洞信息:

建议开发者将所有Struts 2应用程序升级至最新版本。

如果你从其他分支迁移至2.3.x分支,需要注意,该分支最低要求Servlet API 2.4、JSP API 2.0和Java 5。

下载地址:http://struts.apache.org/

分享到:
评论

相关推荐

    全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新

    该全版本漏洞检测工具可能包含了针对Struts 2不同版本的漏洞检查模块,这些模块可能包括但不限于以下方面: 1. **OGNL漏洞扫描**:检测Struts 2应用中是否存在可被恶意利用的OGNL表达式,如未过滤的用户输入或不...

    Struts2漏洞测试

    Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试...

    Struts2VulsTools-Struts2系列漏洞检查工具

    该工具的打开路径为:\Struts2VulsTools-2.3.20190927\Test\bin\Release\Text.exe 2019-09-25: 优化部分EXP在部分情况下被WAF拦截的问题,提高检测成功率,优化自定义上传路径exp,文件所在目录不存在时自动创建...

    Struts 2 全版本漏洞检测工具 18.09 过waf版

    5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持...

    Struts2漏洞检查工具Struts2.2019.V2.3

    Struts2是一款非常流行的Java Web框架,用于构建企业级应用。然而,随着时间的推移,Struts2在安全方面暴露出了一些重要的漏洞,这给使用...定期进行漏洞扫描和更新Struts2到最新版本,是防止这类安全问题的有效手段。

    Struts 2 全版本漏洞检测工具 18.09 过waf版.jar

    struts2全版本检测,利用工具

    struts2漏洞利用工具

    同时,对于开发者和管理员来说,定期更新Struts2框架,正确配置应用程序,并进行安全审计至关重要,以防止这些漏洞被恶意利用。 总的来说,Struts2漏洞利用工具是安全社区的重要工具,它帮助我们识别和修复可能的...

    struts2目前无漏洞的版本

    标题提到的"struts2目前无漏洞的版本"是指Struts2的2.5.13版,这个版本已经修复了已知的所有安全漏洞,确保了应用的安全性。 Struts2的漏洞种类繁多,其中包括但不限于以下几种: 1. **CVE-2017-9805**:这是...

    Struts2远程命令执行漏洞解析

    Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2

    Struts2漏洞检查工具2018版.zip

    因此,定期进行漏洞检查和及时更新Struts2版本至安全补丁是非常必要的。 对于开发者来说,理解Struts2的架构、掌握如何安全配置和使用OGNL以及定期对应用进行安全审计,是避免Struts2框架被利用的关键。同时,企业...

    struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx

    同时,我们也可以了解到 Struts2 漏洞 S2-045 的成因和解决方法,对于企业级应用程序的安全性具有重要意义。 参考文献 Apache Struts 2 - S2-045 Vulnerability. (n.d.). Retrieved from Struts 2 -Downloads. ...

    Struts2漏洞检查工具2018版.rar

    描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...

    Struts2漏洞检查工具2019版 V2.3.exe

    Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...

    Struts2低版本安全漏洞及解决办法

    Struts2低版本安全漏洞及解决办法 Struts2低版本安全漏洞及解决办法

    struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017

    1. **更新Struts2框架**:确保安装的Struts2版本是最新的,包含了针对这些漏洞的补丁。例如,对于s2-005,应更新到Struts2 2.3.15.3或更高版本;对于s2-016和s2-016_3,应更新到2.3.32或更高版本;对于s2-017,应...

    Struts2漏洞利用工具2019版 V2.3.zip

    然而,随着时间的推移,Struts2框架出现了一些安全漏洞,这些漏洞可能被恶意攻击者利用,对服务器造成严重威胁。"Struts2漏洞利用工具2019版 V2.3.zip" 是一个针对这些安全漏洞的检测和利用工具,用于帮助安全研究...

    K8 Struts2 Exp 20160516(Struts2综合漏洞利用工具)

    总的来说,Struts2漏洞是企业信息安全的重要威胁,需要开发者和运维人员时刻保持警惕,通过持续的安全更新和严格的安全策略来降低风险。而“K8 Struts2 Exp 20160516”这样的工具提醒我们,对安全漏洞的利用工具必须...

    Struts2漏洞利用工具-可用于检测

    总的来说,了解并防范Struts2漏洞对于任何使用或维护基于Struts2的系统的人员都至关重要。定期进行安全评估,使用像“Struts2漏洞利用工具”这样的资源,以及遵循最佳安全实践,可以帮助保护系统免受潜在的恶意攻击...

    struts2 最新漏洞 S2-016、S2-017修补方案 .docx

    这个漏洞影响了 Struts2 的所有版本。 S2-017 漏洞是由于 Struts2 的 DefaultActionMapper 的 handleSpecialParameters 方法存在缺陷,从而导致攻击者可以 inject 恶意代码。这个漏洞也影响了 Struts2 的所有版本。...

    Struts2漏洞检查工具2017版

    然而,随着时间的推移,Struts2框架发现了一系列的安全漏洞,这些漏洞可能被恶意攻击者利用来执行任意代码,对系统安全构成严重威胁。本"Struts2漏洞检查工具2017版"正是针对这些问题而设计的,它包含了对多个已知...

Global site tag (gtag.js) - Google Analytics