Apache Struts “Dynamic Method Invocation”机制任意代码执行漏洞

日期: 2013/09/28 | 标签:apache | 游览：400

漏洞起因
设计错误
危险等级
高

影响系统
Apache Struts 2.0.0 – 2.3.15.1

不受影响系统

危害
远程攻击者可以利用漏洞可以WEB应用上下文执行任意代码。
CVSSv2:

攻击所需条件
攻击者必须访问Apache Struts。

漏洞信息
Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。
Apache Struts “Dynamic Method Invocation”机制存在一个未明安全漏洞，允许远程攻击者利用该漏洞以WEB应用上下文执行任意代码。”Dynamic Method Invocation”机制默认开启，仅提醒用户如果可能的情况下关闭此机制。

测试方法
安全建议

厂商解决方案
Apache Struts 2.3.15.2已经修改该漏洞，建议用户下载更新：
http://struts.apache.org
或下载如下厂商提供的安全补丁以修改该漏洞：
http://struts.apache.org/download.cgi#struts23152

漏洞提供者
security@struts.apache.org

← Apple iPhone 5s TouchID指纹重放验证绕过漏洞

TYPO3 Apache Solr扩展PHP代码执行漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Apache Struts “Dynamic Method Invocation”机制任意代码执行漏洞

评论关闭。