Apache Struts ParametersInterceptor任意代码执行漏洞

Apache Struts ParametersInterceptor任意代码执行漏洞

发布日期：2014-06-24
更新日期：2014-06-26

受影响系统：
Apache Group Struts < 2.3.16.2
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2014-0112
 
Struts是用于构建Web应用的开放源码架构。
 
Apache Struts 2.3.16.2之前版本ParametersInterceptor没有正确限制访问getClass方法，这可使远程攻击者篡改ClassLoader并执行任意代码。

Struts中异步传送XML和JSON类型的数据

Struts2的入门实例

注:该漏洞是由于对CVE-2014-0094修补不完整而导致。
 
<*来源：vendor
 
  链接：http://www.securityfocus.com/archive/1/archive/1/531952/100/0/threaded
        http://struts.apache.org/release/2.3.x/docs/s2-021.html
 *>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
Apache Group
 ------------
 Apache Group已经为此发布了一个安全公告（s2-021）以及相应补丁:
 s2-021：ClassLoader manipulation
 链接：http://struts.apache.org/release/2.3.x/docs/s2-021.html

Struts 的详细介绍：请点这里
Struts 的下载地址：请点这里

本文永久更新链接地址：