Apache Struts 访问限制绕过漏洞（CVE-2016-4431）

Apache Struts 访问限制绕过漏洞（CVE-2016-4431）
发布日期：2016-07-04
更新日期：2016-07-05

受影响系统：

Apache Group Struts2 2.3.20 - 2.3.28.1

描述：

CVE（CAN） ID: CVE-2016-4431

Struts2 是构建企业级Jave Web应用的可扩展框架。

Apache Struts 2 2.3.20 - 2.3.28.1版本存在安全漏洞，远程攻击者通过默认的方法，可绕过访问限制，执行重定向攻击。

<*来源：Takeshi Terada websec02 dot g02 at gmail.com

链接：https://struts.apache.org/docs/s2-040.html
*>

建议：

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（S2-040）以及相应补丁:
S2-040：Input validation bypass using existing default action method.
链接：https://struts.apache.org/docs/s2-040.html

补丁下载：https://struts.apache.org/docs/version-notes-2329.html