安全脉搏

GodTouch-IDGODTouch-2016-00079
插件作者GodTouch
插件名称Struts2远程代码执行漏洞S2-032
漏洞危害
漏洞类型远程代码执行
来源致谢 http://www.secpulse.com/archives/45731.html
漏洞描述通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性,并将获取的结果覆盖_memberAccess属性,这样就可以绕过SecurityMemberAccess的限制。
CVE编号CVE-2016-3081
插件代码



你未登录或者级别未达到要求



修复方法目前官方已经推出了2.3.20.2、2.3.24.2和2.3.28.1修复了这个问题,大家可以针对自己所使用的版本进行升级。下载地址:https://struts.apache.org/download.cgi#struts23281
插件状态已发布
提交时间2016-04-28 19:27:55
商务合作:

root@secpulse.com

合作邮箱:

root@secpulse.com

联系QQ:

2869164203

官方Q群:

375995060