漏洞信息详情
Apache Struts 多个输入验证错误漏洞
- CNNVD编号:CNNVD-201307-308
- 危害等级: 高危
- CVE编号: CVE-2013-2251
- 漏洞类型: 输入验证错误
- 发布时间: 2013-07-17
- 威胁类型: 远程
- 更新时间: 2020-10-28
- 厂 商: apache
- 漏洞来源: Jonatas Fil
漏洞简介
Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。
Apache Struts 2.0.0至2.3.15版本中存在输入验证错误漏洞。远程攻击者可通过带有action:、redirect:或redirectAction:的前缀参数利用该漏洞执行任意OGNL表达式。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://struts.apache.org/release/2.3.x/docs/s2-016.HTML
参考网址
来源:CONFIRM
链接:http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.HTML
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2013/Oct/96
来源:MISC
链接:http://cxsecurity.com/issue/WLB-2014010087
来源:MISC
链接:https://packetstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.HTML
来源:CONFIRM
链接:http://struts.apache.org/release/2.3.x/docs/s2-016.HTML
来源:SECTRACK
链接:http://www.securitytracker.com/id/1029184
来源:MLIST
链接:http://seclists.org/oss-sec/2014/q1/89
来源:CISCO
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131023-struts2
来源:CONFIRM
链接:http://archiva.apache.org/security.HTML
来源:SECTRACK
链接:http://www.securitytracker.com/id/1032916
来源:BID
链接:https://www.securityfocus.com/bid/64758
来源:CONFIRM
链接:http://www.fujitsu.com/global/support/software/security/products-f/interstage-bpm-analytics-201301e.HTML
来源:BID
链接:https://www.securityfocus.com/bid/61189
来源:CONFIRM
链接:http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.HTML
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/90392
来源:OSVDB
链接:http://osvdb.org/98445
来源:cxsecurity.com
链接:https://cxsecurity.com/issue/WLB-2020100134
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/159629/Apache-Struts-2-Remote-Code-Execution.HTML
受影响实体
- Apache Struts:2.3.12
- Apache Struts:2.3.14
- Apache Struts:2.3.7
- Apache Struts:2.3.8
- Apache Struts:2.0.5
补丁
- Apache Struts 多个远程命令执行漏洞的修复措施
评论