欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

(中等危险级别)S2-053:Apache Struts2远程代码执行漏洞bug

来源:本站整理 作者:佚名 时间:2017-09-07 TAG: 我要投稿


漏洞bug纲目
破绽编号:CVE-2017-12611、S2-053
缝隙概述:当开发职员在Freemarker标签中运用差池的构造时,可能会招致近程代码执行破绽。
破绽作者:Lupin@京东保险团队、David Greene、Roland McIntosh
影响领域:Struts 2.0.1 - Struts 2.3.33、Struts 2.5 - Struts 2.5.10
马脚等第:中危
漏洞描述
当在Freemarker标签中运用诠释式常量或逼迫抒发式时应用苦求值可能会导致近程代码实行bug(见上面的示例)。
在这两种情况下,值属性都运用可写属性,都邑遭到Freemarker的评释式的影响。
修复提倡
不要在代码中应用上述组织,可以使用只读属性来初始化value属性(仅限getter属性)。
升级到Apache Struts 2.5.13或2.3.34版本
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载