Apache Struts多个跨站脚本漏洞

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

信息来源：Fabio Gandola 发表日期：2013-10-16 17:12:00

Struts是用于构建Web应用的开放源码架构。

Struts 2.0.1.11、2.1.1之前版本没有正确处理s:a标签href属性里双引号字符，s:url标签action属性里的参数，存在多个跨站脚本漏洞，可使远程攻击者注入任意Web脚本或HTML。

BUGTRAQ-ID:34686

CVE-ID:2008-6682

受影响系统：

Apache Group Struts < 2.1.1

Apache Group Struts < 2.0.11.1

解决办法：安装厂商补丁

厂商补丁：

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://struts.apache.org/download.cgi#struts23151

http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449i20.html

http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449.html

https://issues.apache.org/struts/browse/WW-2427

■服务概述