漏洞起因
输入验证错误
危险等级
低
影响系统
Apache Software Foundation Struts 2.1.8 .1
Apache Software Foundation Struts 2.0.9
不受影响系统
危害
远程攻击者利用漏洞更改会话绕过安全限制。
攻击所需条件
攻击者必须访问Apache Struts。
漏洞信息
Apache Struts是一款建立Java web应用程序的开放源代码架构。
Apache Struts存在安全漏洞,允许恶意用户绕过部分安全限制。
org.apache.struts2.interceptor.SessionAware或org.apache.struts2.interceptor.RequestAware接口没有正确阻止对会话映射的访问,可被利用向使用组合自动绑定接口的应用程序发送特制请求,可更改会话映射。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
https://issues.apache.org/jira/browse/WW-2264
https://issues.apache.org/jira/browse/WW-3631
漏洞提供者
Hisato Killing
0 条评论。