apache struts linux,Apache Struts远程代码执行漏洞(CVE-2017-9791)

最新推荐文章于 2024-09-24 16:23:16 发布
最新推荐文章于 2024-09-24 16:23:16 发布
阅读量205 收藏
点赞数
文章标签: apache struts linux

Apache Struts远程代码执行漏洞(CVE-2017-9791)

发布日期:2017-07-05

更新日期:2017-07-10

受影响系统:

Apache Group Struts 2.3.x

Apache Group Struts

描述:

BUGTRAQ  ID: 99484

CVE(CAN) ID: CVE-2017-9791

Struts2 是构建企业级Jave Web应用的可扩展框架。

在Struts 2.3.x 系列的 Showcase 应用中演示Struts2整合Struts 1 的插件中存在一处任意代码执行漏洞。当你的应用使用了Struts2 Struts1的插件时,可能导致不受信任的输入传入到ActionMessage类中导致命令执行。

链接:http://struts.apache.org/docs/s2-048.html

*>

建议:

厂商补丁:

Apache Group

------------

Apache Group已经为此发布了一个安全公告(S2-048)以及相应补丁:

S2-048:S2-048

链接:http://struts.apache.org/docs/s2-048.html

更多Struts相关教程见以下内容:

Struts 的详细介绍:请点这里

Struts 的下载地址:请点这里

0b1331709591d260c1c78e86d0c51c18.png

张小庑
关注
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791
qq_51577576的博客
12-16 1368
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791Apache Struts2 2.3.x 系列启用了struts2-struts1-plugin 插件并且存在 struts2-showcase 目录,其漏洞成因是当ActionMessage接收客户可控的参数数据时,用户可控的值添加到 ActionMessage 并在客户前端展示,导致其进入 getText 函数,最后 message 被当作 ognl 表达式执行,导致任意代码执行
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1196
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第二种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
网站安全专家
11-08 1172
2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木...
【Vulfocus】struts2-cve_2017_9791漏洞复现
最新发布
JavaLord123的博客
09-24 509
本文详细描述了Vulfocus中Struts2 S2-048 远程命令执行漏洞CVE-2017-9791漏洞复现过程
apache struts linux,Apache Struts 2.5.19 发布,支持Java 11
weixin_42388485的博客
05-14 259
Apache Struts 2.5.19已经发布。Struts是一个由Apache Software Foundation(ASF)赞助的开源项目,最初是雅加达项目的一个子项目,于2004年3月成为ASF的首要项目。通过采用Java Servlet / JSP技术,它实现了MVC设计模式的应用框架基于Java EE Web应用程序,是MVC经典设计模式的经典产品。Struts 2.5.19更新日志...
apache struts linux,Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611)
weixin_39888082的博客
05-14 281
Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611)发布日期:2017-06-23更新日期:2017-09-11受影响系统:Apache Group Struts 2.5-2.5.10Apache Group Struts 2.0.1-2.3.33描述:CVE(CAN) ID: CVE-2017-12611Struts2 是构建企业级Jave Web应用的可...
【Vulfocus解题复现】Struts2 S2-048 远程命令执行漏洞CVE-2017-9791
温氏效应
09-04 3991
漏洞介绍 名称:Struts2 S2-048 远程命令执行漏洞 CVE标识符:CVE-2017-9791 描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。 攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。 解题过程 1、打开靶场环境 2、.
Apache Struts2远程代码执行漏洞复现(CVE-2021-31805)
0xSec
01-12 1398
Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
漏洞复现】Struts2 S2-048 远程命令执行漏洞CVE-2017-9791
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-11 532
描述:Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。攻击者构造恶意字段值(value)通过Struts2的struts2-struts1-plugin传递给被攻击主机,从而实现RCE,获取远程主机的控制权限。......
Struts2_048(CVE-2017-9791)远程代码执行漏洞EXP
qq_51459600的博客
01-04 2693
Struts2_048(CVE-2017-9791)远程代码执行漏洞EXP 官方描述: It is possible to perform a RCE attack with a malicious field value when using the Struts 2 Struts 1 plugin and it's a Struts 1 action and the value is a part of a message presented to the user, i.e. when using u
Apache Struts2远程代码执行漏洞S2-048 CVE-2017-9791 分析和防护方案
weixin_34194087的博客
09-01 878
今天,ApacheStruts官方发布公告,漏洞编号为S2-048 CVE-2017-9791,公告称Struts2和Struts1中的一个Showcase插件可能导致远程代码执行,并评价为高危漏洞。 绿盟科技发布分析和防护方案,其中开放了在线检测工具 https://cloud.nsfocus.com/#/krosa/views/initcdr/p...
apache struts linux,Apache Struts 2.3.20 发布下载
weixin_36410904的博客
05-14 305
Apache Struts 2.3.20 发布下载了,改进包括:合并后的安全修补程序版本中,2.3.16.1、 2.3.16.2、 2.3.16.3扩展现有的安全机制,来阻止访问给 Java 包和类RedirectResult 参数集合在默认情况下,使 ParametersInterceptor 支持中文哈希键themes.properties可以使用加载 ServletContext 允许放在...
漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
07-11 1278
了解更多技术文章请点击原文链接 2017年7月7日,ApacheStruts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2和Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。具体详情如下:...
java struct漏洞_最新!Apache Struts 又爆安全漏洞(危害程度特别大)
weixin_39613385的博客
02-17 214
Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。具体就不多说了,可以看栈...
CVE-2023-50164 Apache Struts2漏洞复现
黑剑
12-15 3960
从本质上讲,该漏洞允许攻击者利用 Apache Struts 文件上传系统中的缺陷。它允许他们操纵文件上传参数并执行路径遍历。这种利用可能会导致在服务器上执行任意代码,从而导致各种后果,例如未经授权的数据访问、系统受损,甚至完全控制受影响的系统,包括在系统中放置恶意文件。仔细一看,CVE-2023-50164涉及Apache Struts的文件上传机制中的一个漏洞。对于非技术受众,想象一下这样一个场景:安全检查点(文件上传机制)由于漏洞而被绕过,从而允许未经授权的访问安全区域(服务器)。
漏洞复现】Apache Struts CVE-2023-50164
zkaqlaoniao的博客
12-20 1058
近日,Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码Struts2 官方披露 CVE-2023-50164 Apache Struts 文件上传漏洞,攻击者可利用该漏洞污染相关上传参数导致目录遍历,在具体代码环境中可能导致上传 Webshell,执行任意代码
linux远程覆盖文件失败,Apache Struts远程命令执行和任意文件覆盖漏洞
weixin_39903375的博客
04-29 73
发布日期:2012-01-04更新日期:2012-01-06受影响系统:Apache Group Struts 2.x不受影响系统:Apache Group Struts 2.3.1.1描述:--------------------------------------------------------------------------------BUGTRAQ ID: 51257Apache...
CVE-2021-31805 Apache Struts 2远程命令执行漏洞检测工具
资源摘要信息: "Apache Struts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具" Apache Struts 2是一个广泛使用的开源框架,用于开发基于MVC(模型-视图-控制器)架构的Java Web应用程序。CVE-2021-31805是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值