(作者:王果 2013年7月發表於CSDN資訊)
Apache Struts團隊6月底發佈的Struts 2.3.15版本被曝出存在重要的安全漏洞,因此該團隊緊急發佈了Struts 2.3.15.1安全更新版本。
該版本修復的主要安全漏洞如下:
1. 通過在參數前面加上“action:”/“redirect:”/“redirectAction:”前綴,以實現遠程代碼執行,如下:
2. 通過在參數前面加上“redirect:”/“redirectAction:”前綴,以實現開放式重定向,如下:
詳細漏洞信息:
- http://struts.apache.org/release/2.3.x/docs/s2-016.html
- http://struts.apache.org/release/2.3.x/docs/s2-017.html
- http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html
最新版本下載地址: http://struts.apache.org/
Struts2漏洞層出不窮
最近以來的Struts2更新似乎都在忙着修復各種安全漏洞,而這些漏洞都集中在此方面,比如5月底發佈的Struts 2.3.14.2版本、6月初發布的2.3.14.3版本,都修復了相關的漏洞,而這些漏洞都可能導致執行遠程命令、訪問/控制會話以及發起XSS攻擊等。
關於Struts2的安全漏洞分析可參閱: