Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611)

发布日期:2017-06-23

更新日期:2017-09-11

受影响系统:

Apache Group Struts 2.5-2.5.10

Apache Group Struts 2.0.1-2.3.33

描述:

CVE(CAN) ID: CVE-2017-12611

Struts2 是构建企业级Jave Web应用的可扩展框架。

Struts 2.0.1 – Sturts 2.3.33、Struts 2.5 – Struts 2.5.10存在一个远程代码执行漏洞,该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。

David Greene (david at trumpetx dot com)

Roland McIntosh

链接:https://cwiki.apache.org/confluence/display/WW/S2-053

*>

建议:

厂商补丁:

Apache Group

------------

Apache Group已经为此发布了一个安全公告(S2-053)以及相应补丁:

S2-053:A possible Remote Code Execution attack when using an unintentional expression in Freemarker tag instead of string literals

链接:https://cwiki.apache.org/confluence/display/WW/S2-053

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.12

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.34

apache struts linux,Apache Struts2远程代码执行漏洞(S2-053)(CVE-2017-12611)相关推荐

  1. CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告

    报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 stru ...

  2. Apache Struts2远程代码执行漏洞(S2-019)复现

    动态方法调用是一种已知会施加可 Apache Struts2远程代码执行漏洞(S2-019)复现能的安全漏洞的机制,但到目前为止,它默认启用,警告用户应尽可能将其关闭. S2-019的poc,是deb ...

  3. struts2远程代码执行漏洞合集

    声明 好好学习,天天向上 S2-001 漏洞描述 因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中.例 ...

  4. Struts 2再曝远程代码执行漏洞S2-037

    导读今年4月份,Apache Stuts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来.其利用代码很快就在短时间内迅速传播.而且官方针对这个高危漏洞的修复方案还是无效的. 悲剧 ...

  5. Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具)

    0x00 Struts2 简介 Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet.Struts2 基于 MVC 架构,框架结 ...

  6. 如何看待 Apache Log4j 2 远程代码执行漏洞?

    Apache Log4j2 是一款优秀的 Java 日志框架,大量的业务框架都使用了该组件. 2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 ...

  7. linux struts2漏洞,重大漏洞预警:Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)

    背景介绍 近日,安全研究人员发现著名J2EE框架--Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞. Struts2 的使用范围 ...

  8. 绿盟科技网络安全威胁周报2017.11 关注Apache Struts2 任意代码执行漏洞 CVE-2017-5638...

    绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-11,绿盟科技漏洞库本周新增136条,其中高危63条.本次周报建议大家关注 Apache Struts2 任意代码执行漏洞 CVE-2017- ...

  9. rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞

    1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...

最新文章

  1. throws throw 自定义异常
  2. html盒子阴影的语法,css3 盒阴影box-shadow
  3. QT的QNoDraw类的使用
  4. InnoDB锁机制之Gap Lock、Next-Key Lock、Record Lock解析
  5. python就业前景如何_2020年Python就业前景如何?就业岗位多不多?薪资高不高?...
  6. 【译】探索更轻量的Electron替代品来托管Blazor桌面应用程序
  7. 手把手教你用C语言画“心”!
  8. 【java】Java 中的 Exchanger 线程同步使用方法 线程之间交换数据
  9. ajax的总结和使用
  10. python中两个文件如何互相传参_argparse模块如何在jupyter notebook中用于传参?
  11. ubuntu--雷鸟只能收邮件不能发邮件
  12. Go语言:数组练习—冒泡排序
  13. APISpace 绕口令API接口 免费好用
  14. android wear 2.0 表盘开发,android wear手表开发如何获取所有的表盘(动态)以及切换表盘...
  15. 告别陈彤,或是告别一个总编辑的时代
  16. 施迈赛151192476 ZQ 700-11拉线开关
  17. Fibonacci数列Linux程序,使用fork()调用计算Fibonacci数列
  18. 一元三次方程求根公式推导
  19. excel 2010 删除重复行(按某一列重复)
  20. 用easywechat插件做微信支付

热门文章

  1. python3.6 +tkinter GUI编程 实现界面化的文本处理工具
  2. 给员工授予svn相关权限
  3. PHP正则表达式详解(三)
  4. 进程/线程同步的方式和机制,进程间通信
  5. sp_executesql (Transact-SQL) from MSDN
  6. [转载] 抽象类中不能有static,final,private修饰的方法--姥姥家的程序员
  7. SignalTap II里面Power-Up Trigger的使用
  8. python基本操作(四)
  9. JSPs only permit GET POST or HEAD的解决方案(REST风格)
  10. 我们为什么需要SDN?---致新人