安全公告/【CVE-2013-1966】

基本信息

漏洞描述

Apache Struts框架是一个基于 Java Servlets，JavaBeans， 和 JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts2的s:a和s:url标签都提供了一个includeParams属性。当该属性被设置为get或all时，Apache Struts2会将用户提交的参数值作为Ognl表达式执行。攻击者可以提交带有恶意的Ongl表达式，达到执行任意Java代码的目的。只要基于Apache Struts2开发的JSP代码中使用了url/a标签并且设置了includeParams属性为all或get，远程攻击者即可利用此漏执行任意命令。

修复方式

将 Struts2 升级到 2.3.14.2 及以上版本，下载地址：
https://archive.apache.org/dist/struts/
https://struts.apache.org/download

漏洞判定

版本比对检测原理：检查当前系统中Struts2版本是否在受影响版本内|版本比对检测结果：- Struts2
  当前安装版本：2.2.1.1
  应用相关信息：
  - 进程PID：883
  - 应用路径：/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本：2.2.1.1
  应用相关信息：
  - 进程PID：887
  - 应用路径：/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本：2.2.1.1
  应用相关信息：
  - 进程PID：882
  - 应用路径：/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本：2.2.1.1
  应用相关信息：
  - 进程PID：884
  - 应用路径：/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本：2.2.1.1
  应用相关信息：
  - 进程PID：886
  - 应用路径：/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
该主机存在此漏洞

参考

CVE-2013-1966，CNVD-2013-05924，CWE-94，CNNVD-201305-493