Zichel77的博客

Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心，吸收了Struts框架的部分优点，提供了一个更加整洁的MVC设计模式实现的Web应用程序框架。

FastJson 库是 Java 的一个 Json 库，其作用是将 Java 对象转换成 json 数据来表示，也可以将 json 数据转换成 Java 对象，使用非常方便，号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞，fastjson 在解析 json 的过程中，支持使用 autoType 来实例化某一个具体的类，并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

Gitlab是由Gitlab Inc.开发，基于网络的GIt仓库管理工具，且具有wiki和issue跟踪功能，使用Git作为代码管理工具，并在此基础上搭建起来的Web服务，通过Web界面进行访问公开的或私人的项目。2021年4月5日，GitLab官方发布安全更新修复了此GitLab命令执行漏洞（CVE-2021-22205）。

Spring框架（Framework）是一个开源的轻量级J2EE应用程序开发框架，提供了IOC、AOP及MVC等功能，解决了程序人员在开发中遇到的常见问题，提高了应用程序开发便捷度和软件系统构建效率。2022年3月31日，Spring官方发布安全公告，披露CVE-2022-22965 Spring Framework远程代码执行漏洞。由于Spring框架存在处理流程缺陷，攻击者可在远程条件下，实现对目标主机的后门文件写入和配置修改，继而通过后门文件访问获得目标主机权限。

Apache 是当今世界上非常流行的跨平台Web服务端，有着良好的扩充性。而Log4j则是Apache的开源组件，用于日志管理，功能强大。Log4j来源于 Apache 软件基金会的日志服务项目，是一种Java日志框架，从最初Log4j1发展到现在的Log4j2，已经广泛应用于各行各业的业务开发。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

2019年10月15日，Oracle官方发布了2019年10月安全更新公告，其中包含了一个可造成RCE远程任意代码执行的高危漏洞，漏洞编号为CVE-2019-2890。Weblogic在利用T3协议进行远程资源加载调用时，默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单，使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。