频道栏目
首页 > 安全 > 系统安全 > 正文

(中等危险级别)S2-053:Apache Struts2远程代码执行漏洞bug

2017-09-08 09:19:02      个评论      
收藏   我要投稿

漏洞bug纲目
破绽编号:CVE-2017-12611、S2-053
缝隙概述:当开发职员在Freemarker标签中运用差池的构造时,可能会招致近程代码执行破绽。
破绽作者:Lupin@京东保险团队、David Greene、Roland McIntosh
影响领域:Struts 2.0.1 - Struts 2.3.33、Struts 2.5 - Struts 2.5.10
马脚等第:中危

漏洞描述
当在Freemarker标签中运用诠释式常量或逼迫抒发式时应用苦求值可能会导致近程代码实行bug(见上面的示例)。
在这两种情况下,值属性都运用可写属性,都邑遭到Freemarker的评释式的影响。
修复提倡
不要在代码中应用上述组织,可以使用只读属性来初始化value属性(仅限getter属性)。
升级到Apache Struts 2.5.13或2.3.34版本
 

上一篇:安卓TrustZone降级攻击能引发设备遭旧漏洞攻击
下一篇:IARP与RARP:彻底遗忘的兄弟协议 图解ARP协议(6)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站