Apache Struts2 再现漏洞
程序员文章站
2022-03-09 12:25:37
...
Apache Struts团队上周刚修复了一个潜在的远程命令执行漏洞,今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。
Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。
在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理员也可以通过struts.xml来修改所允许动作名称的相关正则表达式),并且从OgnlTextParser中移除了双重求值功能。
你可以通过S2-015安全公告来查看问题的细节和相关示例。
新版本下载地址:http://struts.apache.org/download.cgi#struts23143
Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。
在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理员也可以通过struts.xml来修改所允许动作名称的相关正则表达式),并且从OgnlTextParser中移除了双重求值功能。
你可以通过S2-015安全公告来查看问题的细节和相关示例。
新版本下载地址:http://struts.apache.org/download.cgi#struts23143