apache struts
开源Web框架背后的开发人员Apache Struts已成为创建基于Java Web的应用程序的流行选择,并发布了更新以确保软件中的关键漏洞。
Apache Struts 2.3.1.2解决了一个漏洞,该漏洞使绕过OGNL(对象图导航语言)表达式的保护并评估任意表达式以远程执行恶意Java代码成为可能。
咨询中的详细信息通过调用java.lang.Runtime.getRuntime()。exec()来运行任意命令 ,揭示了这是如何实现的。 该修补程序涵盖了Struts 2.0.0至2.3.1.1版本
这不是Struts第一次受到先前在2008年和2010年报告的OGNL问题的摆布,该问题允许恶意Java代码操纵和部署。 博主很快就了解了这些问题。 如果很容易解决,以前的表格表明此问题将在将来的版本中不断出现。
强烈建议使用该框架的开发人员尽快更新至2.3.1.2,以解决此问题。 为那些使用Maven的用户提供了在发行说明中配置更新所需的详细信息。
翻译自: https://jaxenter.com/apache-struts-team-fix-critical-flaw-in-latest-release-104097.html
apache struts