Struts2远程代码执行漏洞预警

最新推荐文章于 2025-09-12 18:08:49 发布
转载 最新推荐文章于 2025-09-12 18:08:49 发布 · 81 阅读 · 0
文章标签:

#java

Struts2框架出现高危远程命令执行漏洞S2-045,允许攻击者通过篡改HTTP请求头执行命令。此漏洞影响多个版本,建议用户尽快更新至Struts2.3.32或Struts2.5.10.1。

近期struts2 框架再现高危远程命令执行漏洞,漏洞编号S2-045,CVE编号CVE-2017-5638。利用此漏洞可对使用了struts2框架的网站进行远程命令执行,对服务器造成威胁。请相关单位进行及时自检,漏洞详情及修补方案请及时关注官方公告。官方公告链接:https://cwiki.apache.org/confluence/display/WW/S2-045?from=groupmessage&isappinstalled=0

漏洞详情:

 恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。

 

官方评级:

高危 

漏洞影响范围: 

Struts2.3.5 - Struts 2.3.31

Struts2.5 - Struts 2.5.10

 

漏洞修复建议(或缓解措施): 

建议您升级Struts 到Struts 2.3.32 或 Struts 2.5.10.1 版本

提醒:在升级前请做好备份。

 

官方下载地址: 

Struts 2.3.32:https://dist.apache.org/repos/dist/release/struts/2.3.32/struts-2.3.32-all.zip

Struts 2.5.10.1:https://dist.apache.org/repos/dist/release/struts/2.5.10.1/struts-2.5.10.1-all.zip

Apache Struts 存在远程代码执行漏洞(CVE-2024-53677)
缘梦未来的博客
12-14 1089
Apache Struts 是一个开源的 Java Web 应用框架,最初由 Craig McClanahan 于 2000 年创建,并被 Apache 软件基金会接管。它主要用于开发基于 Java 的企业级 Web 应用程序。Struts 提供了一个 MVC(Model-View-Controller)架构,帮助开发者将应用的逻辑分离,以提高可维护性和可扩展性。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2103
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
CVE-2019-0230:Apache Struts2远程代码执行漏洞通告
爱国小白帽
08-14 3880
360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-081302 报告来源:360CERT 报告作者:360CERT 更新日期:2020-08-13 0x01 漏洞简述 2020年08月13日, 360CERT监测发现Apache官方发布了Struts2远程代码执行漏洞的风险通告,该漏洞编号为CVE-2019-0230,漏洞等级:高危,漏洞评分:8.5。 攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL
struts2 漏洞测试工具
热门推荐
feng27156的专栏
11-22 1万+
实在是没办法啊,服务器又被黑了。 上传了很多木马jsp 文件。尝试了一下,居然可以管理服务器内部文件。 我们项目使用的struts2 2.3.12 ,不能幸免的的被黑了。 Struts2 远程代码执行漏洞利用工具 bulid 20130720 [+] S2-016  CVE-2013-225    支持GetShell/获取物理路径/执行CMD命令 [+] S2-013  CVE
Struts2-057远程代码执行漏洞预警
煜铭2011
08-22 8957
0x00 前言 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Cont...
CVE-2021-31805|Apache Struts2远程代码执行漏洞预警
qq_18209847的博客
04-13 6484
官方描述,由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式,最终可导致远程执行任意代码。
java struts漏洞_【重大漏洞预警Struts2远程代码执行漏洞(S2-053/S2-052
weixin_36170641的博客
03-04 545
原标题:【重大漏洞预警Struts2远程代码执行漏洞(S2-053/S2-052)Struts远程代码执行漏洞(S2-053)一、漏洞详情漏洞编号:CVE-2017-12611漏洞等级:中级受影响版本:Struts2.0.1-Struts 2.3.33 Struts 2.5- Struts 2.5.10二、漏洞描述当开发者在使用表达式文字,或在Freemarker标签(见下方)下使用强制表达式时...
linux struts2漏洞,重大漏洞预警Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
weixin_39612677的博客
05-16 540
背景介绍近日,安全研究人员发现著名J2EE框架——Struts2存在远程代码执行漏洞Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞Struts2的使用范围及其广泛,国内外均有大量厂商使用该框架。Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立...
Apache Struts 2 远程代码执行漏洞
兰博基尼
03-16 783
漏洞预警:Apache Struts 2 远程代码执行漏洞 (严重)       Struts 2Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器...
【Vulfocus解题复现】Struts2 S2-013 Struts2 远程命令执行漏洞 (CVE-2013-1966)
温氏效应
09-04 3244
漏洞介绍 名称Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
Apache Log4j 2 远程代码执行漏洞详解
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2038
近期,Apache Log4j2 远程代码执行漏洞CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
性能测试工具JvisualVM/jconsole使用
最新发布
平时的经验总结,学习历程
09-12 213
port是jmx的另一个通信端口。可以不设置,启动后系统会自动随机指定端口。如果关闭了防火墙,没有网络访问策略,可以不设置。如果服务器需要开通端口访问策略此处需要配置开通策略的端口。然后在windows客户机,安装jdk目录下的bin目录下找到jvisualvm.exe或jconsole,通过远程连接方式监控jvm的cpu 内存 线程 类加载的情况。com.sun.management.jmxremote.port 是客户端连接的端口。主要介绍远程使用方式,在启动参数添加如下参数。
还在重启应用改 Topic?Spring Boot 动态 Kafka 消费的“终极形态”
郑龙飞
09-10 736
/ 用于存储 @KafkaListener 的“蓝图”// ... 可按需添加 concurrency, autoStartup 等其他属性(元数据采集与注册)@Component@OverrideClass<?= null &&!通过巧妙地结合和动态配置中心,我们实现了一个功能极其强大的动态 Kafka 消费管理方案。
【lucene】bitsetiterator
risc123456的博客
09-09 529
某些自定义 `FieldCache` 或 `DocValues` 去重逻辑,会先把出现过的 docID 记到 `BitSet`,再用 `BitSetIterator` 一次性吐出。`BitSet` 本身只有 `get()/set()/nextSetBit(int)`,没有标准的迭代器语义,于是就有了 `BitSetIterator` 做适配。- `cost()` 直接返回 `cardinality()`,方便上层 `ConjunctionDISI/DisjunctionDISI` 做排序、选 lead。
计算机毕设 java 高校饭堂点餐系统 基于微信小程序 + SSM 的高校餐饮服务平台 Java+MySQL 的点餐与运营系统
毕设源码伍学长
09-10 1019
在高校饭堂就餐需求增长的背景下,传统点餐依赖窗口排队、效率低,存在高峰期拥堵、菜品信息不透明等问题,难以满足师生便捷就餐需求。采用 Java 技术、SSM 框架、Uni-weixin 技术及 MySQL 数据库,开发高校饭堂点餐系统(微信小程序端 + 服务端),整合菜品展示、在线点餐、订单跟踪等功能,支持管理员、商家、用户三类角色协同,打造专业化餐饮服务平台。该系统既能帮助管理员监管平台内容,商家高效管理菜品与订单,又能让用户便捷查询菜品、完成点餐,提升高校饭堂服务效率与用户体验。
Spring Cloud Gateway:构建智能API网关的终极指南
xinzhiyishi的博客
09-12 555
摘要: Spring Cloud Gateway是微服务架构中的核心API网关,基于Spring 5、WebFlux和Reactor构建,提供异步非阻塞高性能路由。其核心通过路由(Route)、**断言(Predicate)和过滤器(Filter)**实现灵活请求匹配与处理,支持动态路由、负载均衡(如lb://service集成Eureka)、路径重写(RewritePath)、限流(RequestRateLimiter)等功能。相较于Zuul 1.x,它利用Netty实现高并发,内置丰富断言(Path、M
Java 21 压测三连坑:Heap Space+Dubbo 线程不足 + 虚拟线程失效?深度排查与解决方案
srlsong的博客
09-12 1084
Java17升级Java21实战:虚拟线程压测翻车与优化全记录》 本文详细记录了从Java17升级至Java21过程中,应用虚拟线程时遭遇的三大典型问题及解决方案。首先出现Java堆内存溢出问题,通过MAT分析发现Dubbo2.7.x版本在虚拟线程环境下存在ThreadLocal内存泄漏,升级Dubbo至3.2.5并手动清理RpcContext解决。其次遭遇Dubbo线程池耗尽问题,排查发现Dubbo默认使用平台线程池,通过配置virtual类型线程池实现虚拟线程适配。最后针对虚拟线程性能提升不显著的问题
Struts 2.3.32远程代码执行漏洞S2-045分析
2. 漏洞原理分析:深入了解S2-045漏洞的具体原理,包括它是如何被利用以及为什么会导致远程代码执行的问题。 3. 漏洞影响评估:评估此漏洞对受影响版本的Struts 2的影响,以及它可能对应用程序安全造成的后果。 4....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值