Apache Struts 'ParameterInterceptor'类OGNL安全绕过漏洞

2013-05-30T00:00:00
ID SSV:60815
Type seebug
Reporter Root
Modified 2013-05-30T00:00:00

Description

Bugtraq ID:60082

Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts "ParameterInterceptor"类存在一个错误,允许远程攻击者利用漏洞修改服务端对象,如通过特制的OGNL表达式来执行任意命令。 0 Apache Struts 2.x 厂商解决方案

Apache Struts 2.3.14.1已经修复此漏洞,建议用户下载更新: http://struts.apache.org/