Strust2 又出现漏洞啦?搞事情啊?
据说S2-046漏洞和S2-045漏洞非常相似,都是由报错信息带入了buildErrorMessage方法造成的, 只是这次存在两个触发点哦!危害嘛,你说嘞?S2-046(CVE-2017-5638)中Struts使用的Jakarta解析文件上传请求包不当,当攻击者使用非常大的Content-Length值,文件名构造恶意OGNL内容,会导致远程命令执行,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。不过对于已经修复S2-045漏洞的用户(升级Struts版本为Struts 2.3.31、Struts 2.5.10)就不受此漏洞的影响啦!可是如果你没有的话,那就…………
别说话,赶快来i春秋平台验证吧!
实验地址