浏览 2668 次
|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2013-05-23
Apache Struts2 includeParams属性远程命令执行漏洞
发布日期:2013-05-23 CVE ID:CVE-2013-1966 受影响的软件及系统: ==================== Apache Struts 2.0.0 - Apache Struts 2.3.14 综述: ====== Apache Struts2在处理s:a和s:url标签的includeParams属性时存在一个安全漏洞,攻击者可以通过提交带有恶意的Ongl表达式,远程执行任意命令。 目前Apache Struts2已经在2.3.14.1中修补了这一漏洞和另外一个showcase应用相关的漏洞。强烈建议Apache Struts2用户检查您是否受此问题影响,并尽快升级到最新版本。 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
| 返回顶楼 | |
|
发表时间:2013-05-23
早在2010年 struts就爆出一个ognl远程执行命令的漏洞,现在又冒出一个。
这种漏洞非常严重,建议尽快修补。 如果不方便升级struts版本,可以考虑在应用服务器之前放一个nginx,用nginx过滤掉包含ognl表达式的url。 |
| 返回顶楼 | |
