Struts 2.3.1.1 命令执行漏洞

漏洞版本:

Struts 2.3.1.1

漏洞描述:

CVE ID:CVE-2011-3923

Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。
为了防范服务器端对象被恶意篡改,XWork的ParametersInterceptor(参数过滤器)是不允许参数名中出现#字符的。但如果使用16进制编码\u0023或者8进制编码\43,来替换#字符,攻击者就可以绕过限制,调用静态方法,执行任意Java代码甚至系统命令。

安全建议:

升级到官方最新版:
http://struts.apache.org/
posted @ 2013-12-19 00:42  夏虫xm  阅读(282)  评论(0编辑  收藏  举报