struts2 0day漏洞

最新推荐文章于 2023-11-20 15:52:29 发布

转载最新推荐文章于 2023-11-20 15:52:29 发布 · 148 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/zoulei/p/3730056.html

文章标签：

#java

Apache Struts2近期曝出0day漏洞，源于此前修复的CVE-2014-0050及2014-0094漏洞处理不当。此漏洞可能导致服务器遭受拒绝服务攻击或被植入恶意代码。受影响版本为Apache Struts2.0.0至2.3.16.1，建议尽快升级到最新版本。

描述

Apache Struts2 近日出现一个0day漏洞，该漏洞在修补CVE-2014-0050和2014-0094两个安全漏洞处理不当，分别可以导致服务器受到拒绝服务攻击和被执行恶意代码。

漏洞影响版本:

Apache Struts 2.0.0 - 2.3.16.1

解决方案：

升级到最新版（struts2.3.16.1），下载地址：http://struts.apache.org/download.cgi#struts2316-SNAPSHOT

转载于:https://www.cnblogs.com/zoulei/p/3730056.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34129145

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

云攻防系列】漏洞考古归因之Spring与Struts2

m0_73257876的博客

09-04

312

跟入 setParameters() 方法，其中 329 行的newStack.setParameter(name, value) 利用了 OGNL 调用了对应的 Set 方法，而由于每个 action 必然继承容器的classLoader，所以必然可以通过 action 去覆盖 classLoader 的相关属性，修改 tomcat 的日志位置、后缀等造成 RCE。0Day 层出不穷，往往使安全工作人员措手不及，但是漏洞的原理是互通的，我们对于漏洞的防御方式也可以参照以往漏洞。那么该功能如何实现的呢？

【tomcat系列漏洞利用】

最新发布

10-29

1792

Tomcat 服务器是一个开源的轻量级Web应用服务器，在中小型系统和并发量小的场合下被普遍使用。主要组件：服务器Server，服务Service，连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起，加上其他一些支持的组件共同组成一个Service服务，有了Service服务便可以对外提供能力了。

参与评论您还未登录，请先登录后发表或查看评论

struts2 CVE-2014-0050(DoS), CVE-2014-0094(ClassLoader manipulation) S2-20 DoS attacks and ClassLoade...

weixin_34015566的博客

07-15

241

catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix 1. Description 0x1: 相关基础知识 Object是java的基础类，所有的class生成的对象，都会继承Object的所有属性和方法，因此当前a...

Apache Tomcat安全漏洞列表以及修补建议

Keep learing, and stay fast

08-31

4261

Apache Tomcat安全漏洞列表

CVE-2014-0050: Exploit with Boundaries, Loops without Boundaries、Apache Commons FileUpload and Apach...

weixin_30414635的博客

12-14

453

catalog 1. Description 2. Analysis 3. POC 4. Solution 1. Description MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other produc...

高危Struts2 0day漏洞，EXP已流传

jizhang05292的博客

03-07

2148

近日，爆发严重等级高危的网络安全漏洞Struts2 0day，该漏洞影响范围极广，影响国内外绝大多数使用Struts2开发框架的站点。受影响的软件版本：Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10，该漏洞危害程度极高，黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡

Apache Commons FileUpload

weixin_33819479的博客

11-08

433

Apache Commons FileUpload 和 Tomcat拒绝服务漏洞(CVE-2014-0050) 1 受影响主机 10.238.208.34 详细描述 Apache Commons FileUpload软件包可以向小服务程序和Web应用添加高性能的文件上传功能。 Apache Commons FileUpload ...

Struts2远程代码执行漏洞分析（S2-013）1

08-08

Struts2 是 Apache 官方的产品，最近出了一个远程代码执行漏洞，编号“S2-013”，目前是 0DAY，官方没有修补方案出现。这个漏洞出现在 includeParams 属性中，允许远程命令执行。漏洞的成因是 Struts2 标签库中的 ...

藏经阁WEB框架0day漏洞的发掘及分析经验分享.pdf

09-04

《藏经阁WEB框架0day漏洞的发掘及分析经验分享》在网络安全领域，Web框架是构建动态网站、网络应用程序及网络服务的基础。本讲座主要围绕Web框架的0day漏洞发掘与分析，由Web应用安全和数据库安全领域的专家郑国祥...

黑马Struts2视频（day3）

05-06

在"黑马Struts2视频（day3）"中，我们将会深入探讨Struts2的核心概念和关键特性。首先，Struts2框架的出现是为了克服早期Struts1框架的一些局限性，比如性能问题、可扩展性不足以及对注解支持的缺乏。Struts2通过...

WEB框架0day漏洞的发掘及分析经验分享.pdf

09-11

《WEB框架0day漏洞的发掘及分析经验分享》在当今的互联网环境中，Web框架扮演着至关重要的角色，它们为开发者提供了便捷的开发环境，但同时也成为网络安全的一大关注点。0day漏洞，即未公开且未修复的漏洞，对Web...

K8_Struts2.3.1.4 s2-013 0day利用工具+动画

05-23

关于2010那洞我就不说了 2011那个也不说了 (这两成功率还是顶高的) s2-013 实战鸡肋 (要不然这工具也不会丢出来了最好你自己打个环境来测一下免得你以为工具不能用) 触发条件 1 s2 架构 2 使用了s2的 a标签 3 includeParams=all <s:a includeParams="all">k8team</s:a> 在ie下看到的a标签和普通html没啥区别在firefox下会看到使用了s2 a标签的链接源码是这样的 *.jsp;jsessionid inurl: *.jsp;jsessionid 能不能搞到纯属看你人品了

Struts2漏洞利用工具2017版

02-06

Struts2漏洞利用工具2017版，包含s2-032、037、019、016、045、046

关于struts2 S2-20漏洞及其补丁绕过的简要分析

yd0str

04-25

3555

23日，struts2 S2-020漏洞补丁被绕过，

渗透测试——漏洞扫描工具

wuli1024的博客

11-20

3681

然后还要将all这个压缩包里的plugin_feed_info.inc提取出来，命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc，然鹅，我提取不出来。将下载好的插件移动到Nessus目录下，然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好，随后将会更新补丁，OK，这样Nessus可以使用了。将会获得一串数字，然后去激活码的这个网站，输入自己的邮箱获取激活码。

Apache Tomcat安全漏洞列表及整改建议合集