Apache Struts ‘TextParseUtil.translateVariables()’远程代码执行漏洞(CVE-2016-3090
发布日期:2017-10-27
更新日期:2017-11-02
受影响系统:
Apache Group Struts 2.x < 2.3.20
描述:
BUGTRAQ ID: 85131
CVE(CAN) ID: CVE-2016-3090
Struts2 是构建企业级Jave Web应用的可扩展框架。
Apache Struts 2.x < 2.3.20版本在TextParseUtil.translateVariables方法中存在安全漏洞,可使远程攻击者通过构造的OGNL表达式,执行任意代码。
<*来源:Huawei PSIRT Team
*>
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://struts.apache.org/download.cgi#struts23151
推荐阅读:
Struts2学习笔记-Value Stack(值栈)和OGNL表达式 http://www.linuxidc.com/Linux/2015-07/120529.htm
Struts2.5 利用Ajax将json数据传值到JSP http://www.linuxidc.com/Linux/2017-09/146774.htm
在Struts2中使用ModelDriven action http://www.linuxidc.com/Linux/2017-03/141203.htm
Struts2拦截器浅解 http://www.linuxidc.com/Linux/2017-03/141473.htm
Struts2数据验证机制 http://www.linuxidc.com/Linux/2016-10/135995.htm
struts2简单示例 http://www.linuxidc.com/Linux/2016-11/137146.htm
Struts2绑定对象数组 http://www.linuxidc.com/Linux/2017-01/139080.htm
Struts2 s:if标签以及 #,%{},%{#}的使用方法 http://www.linuxidc.com/Linux/2016-11/137188.htm
