Struts2对应CVE编号记录

最新推荐文章于 2024-05-13 03:52:06 发布
最新推荐文章于 2024-05-13 03:52:06 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: 技术/心得 文章标签: struts2 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25094483/article/details/119772052
版权
本文详细列举了 Apache Struts2 框架从 S2-001 到 S2-061 的一系列安全漏洞,涵盖了远程代码执行、跨站脚本、目录遍历等多种风险,涉及CVE编号及具体描述,提醒开发者关注并及时修补这些已知安全问题。
摘要由CSDN通过智能技术生成
  • S2-001(CVE-2007-4556) - 远程代码利用表单验证错误
  • S2-002(无CVE) - <s:url>和<s:a>标记上的跨站点脚本(XSS)漏洞
  • S2-003(无CVE) - XWork ParameterInterceptors旁路允许OGNL语句执行
  • S2-004(无CVE) - 提供静态内容时的目录遍历漏洞
  • S2-005(CVE-2010-1870) - XWork ParameterInterceptors旁路允许远程命令执行
  • S2-006(CVE-2011-1772) - XWork中的多个跨站点脚本(XSS)生成错误页面
  • S2-007(CVE-2012-0838) - 当出现转换错误时,用户输入被评估为OGNL表达式
  • S2-008(CVE-2012-0392) - Struts2中的多个关键漏洞
  • S2-009(CVE-2011-3923) - ParameterInterceptor漏洞允许远程命令执行
  • S2-010(CVE-2012-4386) - 当使用Struts 2令牌机制进行CSRF保护时,可能会因滥用已知会话属性而绕过令牌检查
  • S2-011(CVE-2012-4387) - 长请求参数名称可能会显着提高DOS攻击的有效性
  • S2-012(CVE-2013-1965) - 展示应用程序漏洞允许远程命令执行
  • S2-013(CVE-2013-1966) - URL和锚标记的includeParams属性中存在的漏洞允许远程命令执行
  • S2-014
最低0.47元/天 解锁文章
changeba
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache_Struts2漏洞(S2-045,CVE-2017-5638)
01-20
CVE-2017-5638 是S2-045漏洞的官方CVE编号,这表明了它是一个被广泛认可的安全漏洞。当Struts2尝试解析非标准的MIME类型时,比如“multipart/form-data; boundary=----WebKitFormBoundary”这类格式,如果没有正确...
struts2 cve-2016-3081 BUG版本升级整理
05-06
cve-2016-3081 BUG版本升级整理,里面有Struts 2.1.8 升级 Struts 2.3.28需要替换的jar包,如不是2.1.8的可以做一个简单的参考。可能每个人中引用的jar包不同,但通过参考能节省调试时间,希望对大家有帮助
struts2 CVE-2013-4316 S2-019 Dynamic method executions Vul
weixin_34195364的博客
07-12 401
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description Dynamic Method Invocation is a mechanism known to impose possible s...
S2-001远程代码执行(CVE-2007-4556)
m0_65150886的博客
01-15 465
其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大,其在Action的实现方面线程模型方面、Servlet依赖方面、封装请求参数、表达式语言方面、绑定值到视图技术、类型转换、Action执行控制的对比、拦截器的应用等方面较Struts1进行了较大改进。Struts 2允许用户提交包含 OGNL 表达式字符串的表单数据,若表单验证失败,则服务器会将用户之前提交的OGNL 表达式(如:%{1+1})进行解析执行,然后将结果重新填充到对应的表单数据中。6.6成功获取反弹shell。
struts2 命令执行(CVE-2013-1965)(1)
最新发布
2401_84971615的博客
05-13 295
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
struts2框架漏洞复现
Bird&Bird
01-07 4389
目录1、S2-001远程代码执行漏洞(CVE-2007-4556)漏洞简介影响范围漏洞复现S2-005 远程代码执行漏洞(CVE-2010-1870)漏洞简介影响版本绕过过程漏洞复现 1、S2-001远程代码执行漏洞(CVE-2007-4556) 漏洞简介 当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。 影响范围 Struts 2.0.0 - 2.0.8 漏洞复现 输入%{1+1},返回2就是存在该漏洞。 获取
Struts 2 远程代码执行漏洞(CVE-2016-0785)解决方案
zmm0420的专栏
04-01 1591
https://struts.apache.org/download.cgi
春秋云镜 CVE-2016-0785
qq_22002773的博客
09-10 343
春秋云镜 CVE-2016-0785
K8_Struts2_EXP.zip
09-27
]10 S2-045 CVE-2017-5638 支持GetShell/获取物理路径/执行CMD...[+]2 S2-009 CVE-2011-3923 支持GetShell/获取物理路径/执行CMD命令 [+]1 S2-005 CVE-2010-1870 支持GetShell/获取物理路径/执行CMD命令/列文件目录
struts2 漏洞 "cve-2017-5638" 研究文档
11-21
目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号cve-2017-5638),并定级为高风险。 CVE: 英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息...
Struts2 2018版本安装包
09-24
- 特别是2017年的Struts2远程代码执行漏洞(CVE-2017-9791),提醒开发者应及时更新到最新版本。 8. **SSH集成**: - Spring提供依赖注入和事务管理,Struts2处理HTTP请求,Hibernate负责持久层操作。 - 通过AOP...
Struts2-057漏洞检测python脚本
11-04
Struts2-057检测python脚本,支持命令回显,计算和弹计算器
CVE-2014-4113的POC
04-18
这是windows内核提权漏洞的一个POC,用来帮助分析理解漏洞原理。
CVE-2013-2251漏洞示范
06-18
利用CVE-2013-2251漏洞获取服务器的webshell,从而黑入服务器
Struts2最全面的远程命令执行漏洞梳理
LuoOpening的博客
03-29 821
OGNL的全称是对象图导航语言( Object-Graph Navigation Language),它是一种用于获取和设置 Java对象属性的开源表达式语言,以及其他附加功能,是Struts2的默认表达式语言。使用这种表达式语言,可以利用表达式语法树规则,存储Java对象的任意属性,调用Java对象的方法,同时能够自动实现期望的类型转换。OGNL最初是作为一种使用属性名称在UI组件和控制器之间建立关联的方法。
Day81:服务攻防-开发框架安全&SpringBoot&Struts2&Laravel&ThinkPHP&CVE复现
qq_61553520的博客
04-04 1205
小迪安全-Day81:服务攻防-开发框架安全&SpringBoot&Struts2&Laravel&ThinkPHP&CVE复现
春秋云镜 CVE-2013-2134
qq_22002773的博客
09-16 412
春秋云镜 CVE-2013-2134
Apache Struts 远程代码执行漏洞(CVE-2013-4316)
weixin_30316097的博客
09-26 912
漏洞版本: Apache Group Struts < 2.3.15.2 漏洞描述: BUGTRAQ ID: 62587 CVE(CAN) ID: CVE-2013-4316 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。 Apache Struts 2.3.15.2之前版本的“Dyna...
[漏洞复现]Apache Struts2/S2-015 (CVE-2013-2134)
k5664524的博客
01-18 469
2.3.14.3 之前的 Apache Struts 2 允许远程攻击者通过带有在通配符匹配期间未正确处理的精心制作的操作名称的请求执行任意 OGNL 代码,这是与 CVE-2013-2135 不同的漏洞。
shiro对应CVE漏洞
05-27
除了我之前提到的 CVE-2016-4437 和 CVE-2020-1958,Shiro还存在以下CVE漏洞: 1. CVE-2014-0094:该漏洞可能会允许攻击者通过精心构造的请求,绕过 Shiro 的身份验证机制,从而访问未经授权的资源。 2. CVE-2014-3586:该漏洞可能会允许攻击者通过构造恶意的 SubjectContext 对象,绕过 Shiro 的身份验证机制,从而访问未经授权的资源。 3. CVE-2015-4852:该漏洞可能会允许攻击者通过构造恶意的请求,绕过 Shiro 的身份验证机制,从而访问未经授权的资源。 4. CVE-2020-13933:该漏洞可能会允许攻击者通过构造恶意的请求,绕过 Shiro 的身份验证机制,从而访问未经授权的资源。 这些漏洞都已经被修复,建议用户尽快升级到最新版本的 Shiro 以避免安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值