struts 2.3.14 includeParams 命令执行漏洞

2013-05-21T00:00:00
ID SSV:62378
Type seebug
Reporter Root
Modified 2013-05-21T00:00:00

Description

Apache Struts框架是一个基于Java Servlets,JavaBeans和JavaServer Pages(JSP)的Web应用框架的开源项目,Struts基于Model-View-Controller(MVC)的设计模式,可以用来构件复杂的Web应用.Apache Struts 2.3.14标签库中的url标签和a标签的includeParams这个属性,代表显示请求访问参数的含义,一旦它的值被赋予ALL或者GET或者POST,就会显示具体请求参数内容。可利用此进行命令执行攻击

struts 2.3.14