漏洞发现时间:
2017-10-16
漏洞编号:
CVE-2016-4461
危险等级:
中危
受影响软件:
Apache Struts 2.x < 2.3.29
漏洞描述:
Struts 2是美国Apache软件基金维护的一个开源项目,也是采用Java Web构建的网站系统常用的一款框架。Struts 2框架引入了OGNL表达式,OGNL表达式允许开发者使用标签方便地访问ActionContext等相关变量。
2.3.29之前的Apache Struts 2.x允许远程攻击者通过标签属性中的“%{}”序列执行任意代码。
来源参考:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4461
专家建议:
应用补丁,请向供应商咨询详情。
厂商补丁:
https://struts.apache.org/docs/s2-036.html