请选择 进入手机版 | 继续访问电脑版
查看: 4341|回复: 145

[附POC截图]Apache Struts 2 远程代码执行漏洞(CVE-2016-0785)

[复制链接]
  • TA的每日心情
    擦汗
    2016-4-19 13:38
  • 签到天数: 6 天

    [LV.2]偶尔看看I

    发表于 2016-3-18 12:20:18 | 显示全部楼层 |阅读模式
      

      近日Apache发布官方漏洞通告S2-029存在可能远程命令执行的告警。360的小伙伴加班加点在跟进此漏洞的进展,并且在补丁发出之前验证了漏洞的存在。见图。
      
      Struts2是世界上最广泛使用的Java web服务器框架之一,之前S2-005,S2-009,S2-013,S2-016,S2-020都存在远程命令执行漏洞,使得大量的网站系统遭受入侵。S对互联网网站系统的危害比较大。
      这次S2-029的漏洞主要在于当用户可以控制特定标签的属性时,通过OGNL二次计算可以执行任意命令,危害程度与前几次相同。所以请广大用户注意官方更新的补丁,升级至2.3.26版本
            受影响范围
      Struts 2.0.0 – Struts Struts 2.3.24.1
      修复建议
      当重分配传入Struts标签属性的参数时,总是进行验证
            建议用户将Struts升级至 2.3.26版本
            监控WEB日志及时发现入侵事件。
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2016-5-24 15:51
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-3-18 12:50:16 | 显示全部楼层
    可以。。。过段时间就要放出利用工具了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-18 17:53:29 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-3-18 19:26:28 | 显示全部楼层
    截图还要打码,真不厚道
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2020-9-14 23:06
  • 签到天数: 537 天

    [LV.9]以坛为家II

    发表于 2016-3-18 19:37:55 | 显示全部楼层
    我记得论坛发有类似的
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-19 01:49:46 | 显示全部楼层
    我是来水经验的……
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-19 11:00:55 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-19 14:23:33 | 显示全部楼层
    谢谢楼主的分享
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-19 22:00:11 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2019-4-14 17:44
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2016-3-19 22:18:56 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表