Strust2 又出現漏洞啦?搞事情啊?
據說S2-046漏洞和S2-045漏洞非常相似,都是由報錯信息帶入了buildErrorMessage方法造成的, 只是這次存在兩個觸發點哦!危害嘛,你說嘞?S2-046(CVE-2017-5638)中Struts使用的Jakarta解析文件上傳請求包不當,當攻擊者使用非常大的Content-Length值,文件名構造惡意OGNL內容,會導致遠程命令執行,引發數據泄露、網頁篡改、植入後門、成爲肉雞等安全事件。不過對於已經修復S2-045漏洞的用戶(升級Struts版本爲Struts 2.3.31、Struts 2.5.10)就不受此漏洞的影響啦!可是如果你沒有的話,那就…………
別說話,趕快來i春秋平臺驗證吧!
實驗地址