学习
实践
活动
专区
工具
TVP
写文章

重磅 | Struts2 S2-048远程代码执行漏洞分析报告

当开发人员在Struts2开发框架中使用插件 “Struts1”,且该插件允许应用使用Struts 1的Actions 和 ActionForms ,此时如果将请求参数值作为构建 ActionMessage 漏洞利用前置条件 必须使用Struts-core-1.x.x.jar插件,且ActionMessage类的key属性可控。 5. 风险等级 安恒信息应急响应中心将此漏洞安全风险定级为: 高危 6. 直接将HTTP POST中的name参数值作为key传给ActionMessage类,其中ActionMessage中的key就可以被控制。 临时缓解措施 方法一 停用 showcase.war 方法二 开发者通过使用 resource keys 替代将原始消息直接传递给 ActionMessage 的方式。 ("msg", new ActionMessage("Gangster " + gform.getName() + " was added")); 方法三 安恒信息玄武盾产品可对该漏洞防护,如有需求可与我们联系并快速接入

76180
  • 广告
    关闭

    热门业务场景教学

    个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    扫码关注腾讯云开发者

    领取腾讯云代金券