Apache Struts2 s2-020补丁安全绕过漏洞
| CNVD-ID | CNVD-2014-01552 |
| 发布时间 | 2014-03-11 |
| 危害级别 | 高 |
| 影响产品 | Apache struts 2.0.0-2.3.16 |
| BUGTRAQ ID | 65999 |
| CVE ID | CVE-2014-0094 |
| 漏洞描述 | Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts存在一个安全漏洞,由于ParametersInterceptor允许访问直接映射到getClass()方法的'class'参数,允许攻击者利用漏洞通过请求参数操作ClassLoader。 |
| 参考链接 | http://struts.apache.org/release/2.3.x/docs/s2-020.html |
| 漏洞解决方案 | Apache Struts 2.3.16.1已经修复该漏洞,建议用户下载更新: http://struts.apache.org/ |
| 漏洞发现者 | Mark Thomas and Przemyslaw Celej |
| 厂商补丁 | Apache Struts ClassLoader操作安全绕过漏洞的补丁 |
| 验证信息 | (暂无验证信息) |
| 报送时间 | 2014-03-08 |
| 收录时间 | 2014-03-11 |
| 更新时间 | 2014-04-24 |
| 漏洞附件 | (无附件) |
