struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】

最新推荐文章于 2024-04-29 19:47:30 发布
最新推荐文章于 2024-04-29 19:47:30 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: Struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JEFFYU328/article/details/115907882
版权

一、背景

一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。

①被查到存在编号【Struts2  S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1】。

②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-2020-17530)】;受影响版本:【Struts 2.0.0 – Struts 2.5.25】;漏洞已Struts 2.5.26版本中修复。

只能升级到【Struts 2.5.26】,目前(2021年4月20日)的最新版   

下载地址:https://struts.apache.org/download.cgi

二、具体实施

由于种种原因,只能将部署Tomcat下webAPP中的程序进行升级。

经过多方的挣扎排除报错,现将改动的位置和替换的包列出以供相似问题的码农们参考。

最低0.47元/天 解锁文章
JEFFYU328
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
apache commons-lang3字符串替换方法StrSubstitutor过期
Tino's Space
05-11 4756
先来看看StrSubstitutor的用法 Map valuesMap = HashMap(); valuesMap.put("animal", "quick brown fox"); valuesMap.put("target", "lazy dog"); String templateString = "The ${animal} jumps over the ${target}."; StrSubstitutor sub = new StrSubstitutor(valuesMap); S
Struts2.3.32升级Struts2.5.26详细步骤(无敌版)
weixin_41271981的博客
12-24 7814
Struts2真是三天两头爆出漏洞来,特别是一爆出漏洞就建议升级最新版,也是无语的,并且最新版相比老板还相差挺大的,这部这次需要从Struts2.3.32一下子就必须升级最新版,这可让人头大,谷歌百度了几天都没有解决方案,大概是因为每个人的项目都是不同的吧,有些用纯注解,有些用配置文件,所以可能适合你的解决方案却不适合别人,最终还是得靠自己解决,下面整理了一下我的解决方案,其中有些错误只能通过修改源码来搞定的。 ###一、项目背景 这里先要说一下要升级的项目背景,因为不同架构的项目升级方法可能有差异,我
String工具之StringSubstitutor 字符替换
最新发布
Mr朱鹏的博客
04-29 294
String工具之StringSubstitutor 字符替换
Struts2框架
s980629的博客
04-25 1337
struts2是web层的框架,需要创建web工程。
struts2整合CXF访问路径冲突问题
yuan
01-10 1024
在用struts2整合cxf提供webservice供外部调用时,会出现访问路径冲突问题,原因是struts2的过滤器把所有的请求都拦截了,当我们调用webservice时,也会被拦截,在路由map中找不到匹配的路径 则报错。  1)解决方法:      1:新建一个类继承struts2中提供的过滤器类      2:重写doFiter方法,对调用webservice的访问路径放行,其他
struts2-core-2.3.15.1.jar
07-25
struts2-core-2.3.15.1.jar
struts2-core-2.3.28.1.jar
04-28
struts2-core-2.3.28.1.jar
struts2-json-plugin-2.3.15.1.jar
08-13
struts2-core-2.xx 升级struts2-core-2.3.15.1.jar后 jsonplugin-0.32.jar需要升级struts2-core-2.3.15.1.jar,不然在使用ajax时候报错 java.lang.NullPointerException at org.apache.jsp.web.error_jsp._jsp...
struts-2.3.15.3所以jar包
07-06
struts-2.3.15.3所有jar包
Struts2.5.2的配置及问题解决
08-19
针对Struts2.5.2最新版本的配置进行了梳理,通过一步步的步骤和发生的问题点的解决,完成对Struts2.5.2的配置。
struts 2 升级所需jar 包集合(升级2.3.15.1)
07-13
1.javassist-3.11.0.GA.jar 2.asm-3.3.1 3.asm-commons-3.3 4.commons-io-2.0.1 5.commons-lang-2.5 6.commons-lang3-3.1 ...9.struts2-core-2.3.15.1 10.xwork-core-2.3.15.1 11.struts2-json-plugin-2.3.8.jar
String 工具之StrSubstitutor, 字符替换
热门推荐
zhaoxj_2017的博客
06-19 1万+
字符替换,可以使用正则表达式对匹配的字符进行替换,这种方式比较灵活。而StrSubstitutor是一个工具类,它的目的也是字符替换,但是它封装了由正则表达式灵活性带来的复杂性,从而以更简单,通用的方式组织数据。 首先,明确它是apache工具包下的一个类;然后来学习学习它的简单调用。 1 简单的调用。 Map valuesMap = new HashMap()...
【常用类库之一—org.apache.commons.lang3】
kollyQAQ的博客
04-19 1288
一、DateFormatUtils类(package org.apache.commons.lang3.time) 1. format方法     返回值String System.out.println(DateFormatUtils.format(System.currentTimeMillis(), "yyyyMMdd")); System.out.println(DateFo
Java字符串占位符(commons-text)替换
varyall的专栏
11-02 1万+
  <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.6</version> </dependen
Apache StrSubstitutor使用方法
weixin_30279751的博客
05-04 195
Java中,对于格式化字符串,不论是String.format,还是MessageFormat,都很难用。Velocity倒是不错,可就是太重。今天给大家推荐Apache commons-lang中的StrSubstitutor。 文档地址:https://commons.apache.org/proper/commons-lang/apidocs/org/apache/commons/lang...
关于Struts2.5的配置的一些注意事项
madonghyu的博客
02-06 3047
Struts2.5的配置的一些注意事项 所需jar包 注意事项: 以上jar包是根据官方的示例添加的,但官方还多加了一个struts2-rest-plugin-2.5.14.1.jar,笔者加进去后会出现错误,导致项目无法运行action。 当出现Wrong method was defined as an action method: index - Class: java.l
struts2.3.32升级struts2.5.26
初级驾照的博客
12-09 8964
下载struts2.5.26jar包 官网下载 更新jar 新增或替换 commons-io-2.6.jar log4j-api-2.12.1.jar ognl-3.1.28.jar struts2-core-2.5.26.jar struts2-json-plugin-2.5.26.jar struts2-junit-plugin-2.5.26.jar struts2-spring-plugin-2.5.26.jar 删除 xwork-core-2.3.32.jar 修改web.xml <fil
Struts2 2.3.15.1 版本存在什么漏洞问题
06-14
Struts2 2.3.15.1 版本存在一个严重的漏洞问题,即远程代码执行漏洞(Remote Code Execution,RCE)。攻击者可以通过构造恶意的请求,利用该漏洞执行任意的系统命令。该漏洞是由于Struts2框架的一个参数没有正确地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值