漏洞起因
输入验证错误
危险等级
低
影响系统
Apache Software Foundation Struts 2.2.3
Apache Software Foundation Struts 2.0.14
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息,劫持用户会话等。
攻击所需条件
攻击者必须构建恶意链接,诱使用户解析。
漏洞信息
Apache Struts是一款建立Java web应用程序的开放源代码架构。
Apache Struts不正确过滤用户提供的输入,可导致多个持久型跨站脚本漏洞。
-通过’/struts2-showcase/person/editPerson.action’中的’name’和’lastName’参数提供的输入在返回用户之前缺少校验,可导致跨站脚本攻击。
-通过’/struts2-rest-showcase/orders’中的’clientName’参数提供的输入在返回用户之前缺少校验,可导致跨站脚本攻击。
-通过’/struts-examples/upload/upload-submit.do?queryParam=Successful’中的’name’参数提供的输入在返回用户之前缺少校验,可导致跨站脚本攻击。
-通过’/struts-cookbook/processSimple.do’中的’message’参数提供的输入在返回用户之前缺少校验,可导致跨站脚本攻击。
–通过’/struts-cookbook/processDyna.do’中的’message’参数提供的输入在返回用户之前缺少校验,可导致跨站脚本攻击。
测试方法
厂商解决方案
目前没有详细解决方案提供:
http://struts.apache.org/
漏洞提供者
Antu Sanadi of SecPod Technologies
评论关闭。