Struts2 最新高危漏洞解决方案

最新推荐文章于 2024-08-11 21:37:06 发布
最新推荐文章于 2024-08-11 21:37:06 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: struts 文章标签: struts2 漏洞 解决 最新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beap123/article/details/60963027
版权

漏洞更新说明

由于commons-fileupload-*.*.*.jar中的上传解析器,存在漏洞的造成远程代码执行,甚至能够嵌入任意脚本,所以建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本

1、如果是jdk1.6 请更新到2.3.32版本

2、如果是jdk1.7 请更新到2.5.10.1版本


更新文件说明

如果不方便升级可以删除commons-fileupload-*.*.*.jar,如果方便请更新至以下版本


如启动有问题可以留言,希望可以帮助到大家

beap123
关注
专栏目录
K8Struts2Exploit(S2
11-10
解压密码:k8team[+]S2-020CVE-2014-0094支持GetShell(这洞特殊,EXP集成在飞刀)[+]S2-019CVE-2013-4316支持GetShell/获取物理路径/执行CMD命令[+]S2-016CVE-2013-2251支持GetShell/获取物理路径/执行CMD命令[+]S2-013CVE-2013-1966支持GetShell/获取物理路径/执行CMD命令[+]S2-009CVE-2011-3923支持GetShell/获取物理路径/执行CMD命令[+]S2-005CVE-2010-1870支持GetShell/获取物理路径/执行CMD命令/列文件目录-
CVE-2020-17530Struts2 S2-061 远程命令执行漏洞复现
Jietewang的博客
02-08 405
目录 1. 简介 2. 影响范围 3. 环境搭建 4. 漏洞复现 4.1 命令执行 4.2 编辑脚本执行命令 4.3 反弹shell 1. 简介 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。S2-061是对S2-059的绕过,Struts2官方对S2-059的修复方式是加强OGNL表达式沙盒,而S2-061绕过了该沙盒。在Struts2会对某些标签属性(比如`id`)的属性值进行二次表达式解析,因此当这些标签属性中使用了 `%{x}` 且 ..
漏洞复现-Apache Struts2 文件上传漏洞CVE-2023-50164)
最新发布
玄道的网安博客
08-11 936
补丁修复的HttpParameters大小写敏感问题,如果此时通过参数绑定传递MyFaceFileName,在上传表单名中传递myFace(inputName+FileName),此时HttpParameters里面是myFaceFileName与MyFaceFileName,这个时候key不一样,可以同时存在于HttpParameters的。发现对HttpParameters进行了修改,对参数大小写进行了控制,强制将参数都转换成了小写,漏洞和大小写参数有关。
CVE-2020-17530漏洞
wo41ge的博客
12-13 1087
CVE-2020-17530漏洞 思路是: 1、CS生成python-paylod 2、payload转base64 3、base64的payload用序列化转码 4、序列化转码后在用反序列化转码 5、转成反序列化后在用python3的tinyaes混淆 6、混淆完在用另外的东西加壳成对方环境执行的文件类型 具体看这里:https://m.freebuf.com/articles/web/257506.html ...
struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
xiao.yu的博客
03-09 6209
struts2升级到2.3.32版本,防止漏洞编号S2-045,CVE编号:cve-2017-5638
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2808
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts2漏洞检查工具
02-14
3. **应急响应**:发现漏洞后,应迅速制定并执行修复计划,包括临时缓解措施和长期解决方案。 总的来说,"Struts2漏洞检查工具"是保障Struts2应用安全的重要工具,它们帮助企业及开发者识别和修复安全风险,保护...
Struts2漏洞检查工具2018版.zip
10-14
"Struts2漏洞检查工具2018版.zip"显然是一份针对这些问题的解决方案,包含了2018年时最新的检测和防护手段。 该压缩包中的主要文件有三个: 1. **Struts2漏洞检查工具2018版.exe**:这很可能是该工具的可执行程序...
jboss与struts漏洞解决
08-13
《JBoss与Struts漏洞解决详解》 在信息技术领域,安全问题始终是不容忽视的关键环节。本文主要针对两个常见的漏洞——JBoss漏洞和Struts漏洞,详述其情况、影响以及解决方案,旨在帮助用户理解漏洞的危害并采取有效...
struts 2 漏洞报告
03-08
1. **升级Struts 2**:最简单也是最有效的解决方案是升级到Struts 2 的最新稳定版本。 2. **禁用Jakarta Multipart解析器**:如果暂时无法升级框架版本,可以通过配置文件禁用Jakarta Multipart解析器。 3. **使用...
Struts2漏洞检查工具2017版
08-05
7. **社区支持**:腾龙技术论坛是一个学习黑客技术和网络安全的地方,可能包含关于Struts2漏洞讨论的相关资源和解决方案,用户可以在这里交流经验,寻求帮助。 在使用此工具时,用户需要确保具备一定的Java Web开发...
K8 Struts2 Exploit 最新无后门版
03-08
K8 Struts2 Exploit 最新无后门版
K8_Struts2_漏洞利用工具解压密码:k8team
09-26
著名的K8_Struts2_漏洞利用工具,可利用Struts2_漏洞进行任意代码执行和任意文件上传。 本工具仅供学习交流,请勿用于任何非法活动。
struts漏洞总结
Fiverya的博客
01-17 2830
struts2漏洞,从S2-001到 S2-061,嘿嘿。
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 7353
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
[原创]K8 Struts2 Exp 20170310 S2-045(Struts2综合漏洞利用工具)
weixin_30446613的博客
01-12 7569
工具:K8Struts2Exploit组织:K8搞基大队[K8team]作者:K8拉登哥哥博客:http://qqhack8.blog.163.com发布:2014/7/3110:24:56简介: K8 Struts2 综合漏洞利用工具 (Apache Struts Remote Code Execution Exploit)Struts2漏洞检测工具 Struts2漏洞测试工...
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9581
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
struts2漏洞
热门推荐
qq_52527336的博客
06-30 1万+
记一下笔记一个个写吧
这些年,我们一直追逐的漏洞利用神器
03-30 241
我们来思考一个问题:如果一种漏洞类型,让你推荐一款与之强相关的漏洞利用神器,你会怎么推荐? 现在,我们所认为的漏洞利用工具神器,十年后,又该会是什么样子呢?可能大概也许就像我们现在看到啊d注入工具的样子吧。重复造轮子的人甚多,而能够称之为神器的工具甚少,在此感谢每一位安全开发者的无私奉献。 下面,我来给大家推荐几款我认为的漏洞利用神器,欢迎各位补充。 1、SQL注入漏洞 推荐项目:SQ...
Struts2乱码问题完全解决方案
以下是一些针对Struts2框架的乱码问题的解决方案,这些方法经过个人测试,证明是有效的。 1. JSP页面设置 在JSP页面中,确保已经正确设置了字符编码。可以通过在JSP文件顶部添加以下两行来实现: ```jsp ;charset=...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值