Struts2中一个远程代码执行漏洞(cve-2018-11776)修复之struts2版本2.1.8.1升级到2.3.35

最新推荐文章于 2024-09-01 08:32:13 发布
最新推荐文章于 2024-09-01 08:32:13 发布
阅读量301 收藏
点赞数
文章标签: java 后端 安全漏洞 struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35713959/article/details/103527054
版权

struts2版本2.1.8.1升级到2.3.35

由于是老项目采用的还是jar包直接下载拖上去的方式。
新项目可自行将依赖换成对应的版本。
原版本:
在这里插入图片描述

替换后新版本:
在这里插入图片描述
具体jar包下载地址可在如下地址中寻找:
https://www.mvnjar.com/org.apache.struts/struts2-jasperreports-plugin/2.3.35/detail.html

韩知非
关注
struts2.3.35漏洞升级全部JAR包
06-27
struts漏洞升级全部JAR包,struts22.3.15.1升级2.3.35相关配置说明,在附件包含有2.3.15.1版本的jar包和2.3.35版本的jar包
Struts从2.1升级2.3版本过程
weixin_34130269的博客
02-10 273
应客户要求将版本升级到安全版本。 http://struts.apache.org/download 官网下载地址。 http://struts.apache.org/[preferred]struts/2.3.31/struts-2.3.31-all.zip (2.3.31版本) 我将我更新的jar包贴出来 大家可以参考下,如果有,那么升级,没有的话导入一份: 根据...
Apache Struts 2 CVE-2018-11776漏洞利用工具指南
最新发布
gitblog_00513的博客
09-01 730
Apache Struts 2 CVE-2018-11776漏洞利用工具指南 struts-pwn_CVE-2018-11776 An exploit for Apache Struts CVE-2018-11776项目地址:https://gitcode.com/gh_mirrors/st/struts-pwn_CVE-2018-11776 项目介绍 该项目Struts-pwn是针对Apach...
struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
Java高知社区
07-18 7073
struts2之高危远程代码执行漏洞升级jar包地址: 1.官网下载 http://struts.apache.org/download.cgi#struts23143 2.csdn资源库下载:http://download.csdn.net/download/tjcyjd/5775605
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apach e.struts/struts2-spring-plugin/2.3.32
漏洞解析及复现(CVE-2018-11776
zkaqlaoniao的博客
10-29 464
Struts2是一款基于Java开发的框架,web路径下会出现两种特殊的文件格式,即*.action文件与*.jsp文件;它是基于MVC设计模式的Web应用框架,相当于一个servlet,在MVC设计模式Struts2作为控制器(Controller)来建立模型与视图的数据交互。由于在Struts2开发框架使用namespace功能定义XML配置时,namespace值未被设置且在上层动作配置(Action Configuration)未设置或用通配符namespace,可能导致远程代码执行
Struts2漏洞检查工具2019版 V2.3.exe
01-16
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...
Struts2漏洞检查工具2018版.exe
07-15
增加最新的S2-032远程代码执行漏洞,和S2-019很相似。 参考:http://seclab.dbappsecurity.com.cn/?p=924 2015-12-01: 采用scanner读数据流,再也不用担心s16不能执行net user/ipconfig/netstat -an等命令了。 增加...
struts S2-005 远程代码执行漏洞
haha1314的博客
07-15 2293
S2-005 远程代码执行漏洞 影响版本: 2.0.0 - 2.1.8.1 漏洞详情: http://struts.apache.org/docs/s2-005.html 原理 参考吴翰清的《白帽子讲Web安全》一书。 s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OG...
S2-005 远程代码执行漏洞
玄道的网安博客
06-27 716
影响版本 2.0.0 ~2.1.8.1 环境搭建 cd vulhub/struts2/s2-005 docker-compose build && docker-compose up -d 漏洞复现 发生数据包包 GET /example/HelloWorld.action?(%27%5cu0023_memberAccess[%5c%27allowStaticMethodAccess%5c%27]%27)(vaaa)=true&(aaaa)((%27%..
Struts升级Struts2.3.35
08-30
北京时间8月22日13时,Apache官方发布通告公布了Struts2一个远程代码执行漏洞cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空间值,也可能构成 RCE 攻击。
linux struts2漏洞,Struts 2 远程代码执行漏洞CVE-2018-11776
weixin_33603656的博客
05-16 187
Struts 2 远程代码执行漏洞(CVE-2018-11776)发布日期:2018-08-22更新日期:2018-08-28受影响系统:Apache Group Struts2 2.5.0 - 2.5.16Apache Group Struts2 2.3.0 - 2.3.34描述:BUGTRAQ ID: 105125CVE(CAN) ID: CVE-2018-11776Apache Strut...
Struts2-057远程代码执行漏洞(s2-057/CVE-2018-11776)复现
bamanju0574的博客
08-21 950
参考了大佬的链接:https://github.com/jas502n/St2-057 00x01前言 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。 Struts2一个基于MVC设计模式的Web应用框架...
Apache struts2 namespace远程命令执行CVE-2018-11776(S2-057)漏洞复现
浅浅的博客
07-28 3173
Apache struts2 namespace远程命令执行CVE-2018-11776(S2-057)漏洞复现 一、漏洞描述 S2-057漏洞产生于网站配置xml的时候,有一个namespace的值,该值并没有做详细的安全过滤导致可以写入到xml上,尤其url标签值也没有做通配符的过滤,导致可以执行远程代码以及系统命令到服务器系统去。 二、漏洞影响版本 Apache Strut...
struts2 代码执行CVE-2018-11776漏洞复现 vulfocus夺旗
muhan的博客
04-15 4643
1、启动环境:直接vulfocus搜索cve编号启动,并访问环境ip地址 2、判断是否有漏洞: 使用特定payload拼接url,访问抓包 ip地址/struts2-showcase/$%7B233*233%7D/actionChain1.action 利用BurpSuite抓包并改包,Go得到下图所示结果,说明存在漏洞。可以看到,233X233的结果已经在Location头返回 3、构造POC,替换掉请求内容 原始poc: ${(#dm=@ognl.OgnlContext@DEFAULT
java struts 漏洞_Struts2远程命令执行漏洞分析及防范
weixin_36006615的博客
02-24 298
Struts 2是在 struts 和WebWork的技术基础上进行了合并的全新的框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开,所以Struts 2可以理解为WebWork的更新产品.近期Struts2爆发了一远程命令执行...
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-057(CVE-2018-11776
qq_51577576的博客
12-10 618
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-057(CVE-2018-11776漏洞产生于网站配置XML时如果没有设置namespace的值,并且上层动作配置并没有设置或使用通配符namespace时,可能会导致远程代码执行漏洞的发生。同样也可能因为url标签没有设置value和action的值,并且上层动作并没有设置或使用通配符namespace,从而导致远程代码执行漏洞的发生。
Struts2重大漏洞CVE-2017-5638:远程代码执行风险
本文档主要探讨了Struts2框架发现的一个严重漏洞,编号为S2-045,CVE编号为CVE-2017-5638。此漏洞被安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现,涉及Struts 2.3.5至2.3.31及Struts 2.5至2.5.10的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值