Apache Struts DebuggingInterceptor组件DebuggingInterceptor OGNL表

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

发表日期：2014-11-26 16:28:56

Apache Struts DebuggingInterceptor组件DebuggingInterceptor OGNL表达式处理远程命令执行漏洞

CVE-ID:CVE-2012-0394

发布日期：2012-01-06

更新日期：2012-01-06

受影响系统：

Apache Group Struts < 2.3.1.1

详细信息：

Struts是用于构建Web应用的开放源码架构。 Apache Struts 2.3.1.1之前版本的DebuggingInterceptor组件在使用developer模式时存在安全漏洞，允许远程攻击者通过DebuggingInterceptor OGNL表达式执行任意命令。

来源：

Johannes Dahse

参考信息：

http://www.exploit-db.com/exploits/18329/

http://struts.apache.org/development/2.x/docs/s2-008.html

解决办法：

厂商补丁：

Apache Group

------------

Apache Group已经为此发布了一个安全公告（s2-008）以及相应补丁: s2-008：Multiple critical vulnerabilities in Struts2

链接：

http://struts.apache.org/development/2.x/docs/s2-008.html

补丁下载：

http://struts.apache.org/download.cgi#struts2311

■服务概述