Seebug 每周一洞-2016-04-06

推荐语

Struts2 是全球使用最广泛的 Javaweb 服务器框架之一。Struts2 是 Struts 的下一代产品，是在 struts1和 WebWork 的技术基础上进行了合并的全新的 Struts2 框架。

如果使用Struts2的web应用将用户提交的数据未经过滤，直接通过Struts2的标签设置成属性值，就被Struts2进行执行，具体的漏洞利用可以参考 Seebug 漏洞详情。

Struts2作为广泛应用的Web框架，安全问题一直层出不穷。为了保证安全，在业务处理中不应信任用户提交上来的任何数据，做好安全过滤。最好能在Ognl的执行入口加入过滤黑名单，并及时将Struts更新至2.3.25（未发布）。

另外，该漏洞暂无POC，欢迎提交。

地址

https://www.seebug.org/vuldb/ssvid-91035