Apache Struts2 S2-059(CVE-2019-0230) RCE漏洞通告

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量3.2k 收藏 2
点赞数
文章标签: struts2 java 安全 asp 编程语言

关于Apache Struts2

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。目前已经不是主流的Web技术,还存留在一些老旧系统中

漏洞等级

漏洞分析

如果攻击者可以设置Struts 2标签的属性值为恶意的OGNL表达式,则可能造成RCE 

影响范围

Struts 2.0.0~2.5.20

修复建议

  • 开启ONGL表达式注入保护措施 (https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable)

  • 升级到2.5.22及以上版本

总结

在安全漏洞这块儿Struts2和fastjson惺惺相惜(难兄难弟),一是容易出问题,二是出问题影响大,动不动就是RCE,三是牵连的业务难修复。笔者建议企业按照自己的实际情况制定计划,逐步替换,加快淘汰还在使用struts2系统。

参考

【漏洞预警】Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

https://cert.360.cn/warning/detail?id=d2b39f48fd31f3b36cc957f23d4777af

https://stackoverflow.com/questions/6134411/jstl-escaping-special-characters/6135001#6135001

关注我们

折叠车
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ONGL表达式
04-24
ONGL表达式,不解释,需要的就下吧,很全面的一份资料,看了就知道了
Struts2 S2-059 远程代码执行漏洞复现
m0_48520508的博客
11-17 1458
0x00简介 Struts2Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序,它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。Struts2以WebWork优秀的设计思想为核心,吸收了Struts框架的部分优点,提供了一个更加整洁的MVC设计模式实现的Web应用程
Struts2漏洞
2403_82795493的博客
02-20 920
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
Struts2被曝远程代码执行漏洞;叮咚买菜抢菜工具;find替代方案…|叨资讯
强哥叨逼叨
04-15 2486
点击关注强哥,还有100多G的面试资料等你来拿 哈喽,大家好,我是强哥。 Struts2被曝远程代码执行漏洞;Facebook开源文本编辑器库Lexical;PyCharm 2022.1 正式发布;一起开发一个马里奥的小游戏;叮咚买菜抢菜工具;你的Spring项目有漏洞吗?;find替代方案。 科技资讯 Struts2被曝远程代码执行漏洞 Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller
struts2之ognl表达式使用注意点
学无先后,达者为先
09-21 166
struts中,ognl表达式只能在struts2的标签中使用!
Java安全Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现与浅析
Ho1aAs‘s Blog
08-01 1046
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入
【vulhub】Struts2 S2-059 远程代码执行漏洞CVE-2019-0230
weixin_42884199的博客
12-07 1002
前言 Apache Struts框架, 会对某些特定的标签的属性值,比如id属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的OGNL表达式,造成OGNL表达式注入。从而可能造成远程执行代码。 影响版本: Struts 2.0.0 - Struts 2.5.20 一、启动靶机 docker-compose build docker-compose up -d 二、构造payload view-source:http://192.168.150.146:8080/index.action?i
struts2-OGNL表达式测试
09-28
struts2-OGNL表达式测试代码
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1077
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
OGNL表达式注入漏洞要成为过去了吗?
u013224189的专栏
07-18 8447
起因 Struts2今年来爆出一系列安全漏洞,以至于在官方release页面,还专门罗列了各个版本对应的CVE漏洞,也算是一大奇观。 ![struts_release](https://img-blog.csdn.net/20180716180339458?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTMyMjQxODk=/font/5a6...
CVE-2019-0230 s2-059 漏洞分析1
08-03
CVE-2019-0230 s2-059 漏洞分析1
INTERNET基础应用教案.doc编程资料
04-17
INTERNET基础应用教案.doc
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
CVE-2019-0230:CVE-2019-0230S2-059 POC
03-10
CVE-2019-0230 CVE-2019-0230s2-059 poc。
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
关于解决 Apache_Struts2漏洞(S2-045,CVE-2017-5638),包含说明与所需资源
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 235
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1342
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 484
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
apache服务器有CVE-2022-2097漏洞怎么处理
02-15
如果您的 Apache 服务器存在 CVE-2022-2097 漏洞,建议您立即采取以下措施来修复它: 1. 检查 Apache 服务器的版本是否受影响,如果受影响请升级到安全版本。 2. 如果无法升级,可以安装 Apache安全补丁。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值