安科网

Apache Struts2 任意代码执行漏洞(CVE-2017-5638)

嘻哈熊

嘻哈熊

2017-03-08

关注 关注
Apache Struts2 任意代码执行漏洞(CVE-2017-5638)


发布日期:2017-03-07
更新日期:2017-03-08

受影响系统:

Apache Group Struts 2.5 - 2.5.10
Apache Group Struts 2.3.5 - 2.3.31

描述:

CVE(CAN) ID: CVE-2017-5638

Struts2 是构建企业级Jave Web应用的可扩展框架。

Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10版本,在基于Jakarta Multipart解析器执行文件上传时,攻击者通过恶意的Content-Type值,可导致远程代码执行。

<*来源:Nike Zheng
 
  链接:https://cwiki.apache.org/confluence/display/WW/S2-045
*>

建议:

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

推荐阅读:

Struts 的详细介绍:请点这里
Struts 的下载地址:请点这里

struts2 apache struts2漏洞 confluence

嘻哈熊

嘻哈熊

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

【Struts2-命令-目录遍历漏洞】S2-004

s2-004为目录遍历漏洞,可以通过../转到上级目录。将/二次编码为%252f. 不断向上级跳转,直到发现showcase.jsp

郭大路路 2020-04-16

CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告

2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805,在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务

Android程序员 2017-09-18

在Java构建Web应用程序中 什么是Struts2?定制开发电商购物小程序构成条件是什么?

Apache Struts2是一个用Java构建Web应用程序的开源框架。Struts2基于OpenSymphony WebWork框架。它从Struts1中得到了很大的改进,使其更加灵活,易于使用和扩展。Struts2的核心组件是Action,Inter

hgzhang 2020-05-06

spring 技术详解 教程(四)

---Struts2 整合 AJAX 返回 JSON 数据.---Struts2 整合 Spring 的插件包.***** 这种写法很麻烦的,因为需要在每个 Action 中的每个方法上获取工厂,通过工厂获得类.

白净垃圾桶 2020-05-04

Struts2-获得servlet的api

  1.struts提供了一个ActionContext来提供servlet的原生api.     >request域,session域,appication域。    >param参数,attr域,valuestack.   3.Action

playis 2020-04-18

Spring的scope=\"prototype\"属性

scope=“session”是为每个会话提供一个action实例。使用prototype时,必须自己在客户端维护用户的状态,每次访问服务端时将相应状态信息提交给服务器。

lenchio 2020-04-08

Struts模板

<?xml version="1.0" encoding="UTF-8"?>. <?xml version="1.0" encoding="UTF-8"?&g

yixiaoqi00 2020-04-08

PlayJava SpringMVC与Struts2杂谈

SpringMVC是基于方法设计,Struts2是基于类,即每发一次请求都会实例一个Action. SpringMVC中的Interceptor拦截器的主要作用是拦截请求并进行相应的处理,其他的作用比如通过它来进行权限验证,或者是判断用户是否登录,日志记录

melonjj 2020-01-05

Struts2 处理AJAX请求

url要和struts.xml中action的name、包的namespace对应。String result = name + "同学,你的总分是:680";我们传给浏览器的数据含有中文,需要设置utf-8编码,来解决中文乱码。需要一

mmywcoco 2019-12-28

Struts2 错误锦集

struts版本 2.3.4.1 jdk 1.6 tomcat 7.0. 部署 web 工程时出现错误

rumengqiang 2014-06-17

struts2全局异常处理及配合log4j异常日志记录

在编写代码时除了使用try catch来捕获异常之外,还可以用struts2的声明式异常处理,即在Action中直接抛出异常交给struts2来处理,并且在xml文件中进行相应的配置,如下:。--设置全局返回结果 -->. --覆盖defultSta

wangruiling 2014-06-13

软件开发架构平台技术-------Struts2之Web容器对象的使用

我们使用过servlet后就会知道request,session,application这三大对象对于我们实现后台和前台的数据交互的重要性,当然我们使用struts2这个表示层框架进行开发时,当然也少不了这三个对象的使用。HttpSession、Servl

yaoyao0 2014-06-01

Spring MVC VS Struts2

虽然说没有系统的学习过Spring MVC框架, 但是工作这么长时间, 基本上在WEB层使用的都是Spring MVC, 自己觉得Struts2也是一个不错的WEB层框架, 这两种框架至今自己还未有比较, 今天闲着没事干, 从网上找了一些资料, 再加上平时

YangHuiLiang 2014-05-20

三大框架整合(hibernate-spring-struts2)

(5-2)不使用外部的hibernate.cfg.xml,加载配置方案2:在spring配置中放置hibernate配置信息。整合struts2中的action------例如userAction创建bean并为其注入属性userService. 三.在w

方志朋 2019-12-22

在Struts2中使用Uploadify组件上传文件

作为Web前端的增强技术,Jquery给用户以更好的体验和交互,增强富互联网客户端特效,而基于Jquery的Uploadify更是将文件上传效果发挥到极致。一个项目下,需要开发一个上传文件的应用,项目基于Struts2,传统使用input标签的file属性

xcguoyu 2014-01-18

[转]为什么javaweb开发,会使用struts2,springMVC和spring等框架?

今年我一直在思考web开发里的前后端分离的问题,到了现在也颇有点心得了,随着这个问题的深入,再加以现在公司很多web项目的控制层的技术框架由struts2迁移到springMVC,我突然有了一个新的疑问无法得到正确的解释,为什么我们现在做java的web开

方志朋 2015-04-30

Spring MVC和Struts2的比较的优点

我们用struts2时采用的传统的配置文件的方式,并没有使用传说中的0配置。spring3 mvc可以认为已经100%零配置了。

殷龙飞 2014-06-24

关于Spring MVC非常详细的介绍

六、springMVC-mvc.xml 配置文件片段讲解七、spring mvc如何访问到静态的文件,如jpg,js,css. 为开发团队选择一款优秀的MVC框架是件难事儿,在众多可行的方案中决择需要很高的经验和水平。Spring MVC是当前最优秀的MV

zmysna 2016-12-16

Android 网络编程---STRUTS2,JSON,HttpClient

在Android开发过程中,我们需要访问网络上的Web资源,比如网络上的WEB请求。在这里Android就好像是一个终端,可以用来接收Web服务器端发送过来的数据。我们看看json包,有如下: json-lib-**.jdk15.jar,struts2-j

89264255 2011-04-23

解决不联网无法启动struts2问题

将struts.xml中的声明部分。替换为 struts2-core-2.xxx.jar中struts-default.xml的文

wuddny的blog 2014-12-04
嘻哈熊

嘻哈熊

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号