<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("Apache Struts,远程代码,代码执行,执行漏洞") PageTitle=stripHTML("Apache Struts 2 远程代码执行漏洞") ArticleIntro=stripHTML("Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别") Articlecontent=stripHTML("       Struts 2  Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts …") ModuleName = stripHTML("exploits") InfoID = stripHTML("225226") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> Apache Struts 2 远程代码执行漏洞 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 最新漏洞 >> 其它漏洞 >> 正文

[图文]Apache Struts 2 远程代码执行漏洞

2016/3/16 作者:cindy 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

     123.jpg

  Struts 2

  Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。

  今天有安全研究员在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-0785),所以Struts 2的开发者和用户都应该知晓这枚漏洞,以防被不法企图者恶意利用。

  受影响的Struts 2版本

  Struts 2.0.0 – Struts Struts 2.3.24.1

  修复建议

  当重分配传入Struts标签属性的参数时,总是进行验证

  建议用户将Struts升级至 2.3.25版本。



  • 上一篇漏洞:

  • 下一篇漏洞: 没有了