Apache Struts 安全限制绕过漏洞(CVE-2015-0899)

CVE编号

CVE-2015-0899

利用情况

暂无

补丁情况

官方补丁

披露时间

2016-07-05

漏洞描述

Apache Struts是一款建立Java web应用程序的开放源代码架构。
Apache Struts 1.2.9 SP2之前版本的MultiPageValidator函数存在输入验证绕过漏洞。攻击者可利用此漏洞绕过安全限制，执行未授权操作。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://struts.apache.org/download.cgi#struts23151

参考链接
http://jvn.jp/en/jp/JVN86448949/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2015-000042
http://www.debian.org/security/2016/dsa-3536
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.securityfocus.com/bid/74423
https://en.osdn.jp/projects/terasoluna/wiki/StrutsPatch2-EN
https://security.netapp.com/advisory/ntap-20180629-0006/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	struts	1.0	-
	运行在以下环境
	应用	apache	struts	1.0.2	-
	运行在以下环境
	应用	apache	struts	1.1	-
	运行在以下环境
	应用	apache	struts	1.2.2	-
	运行在以下环境
	应用	apache	struts	1.2.4	-
	运行在以下环境
	应用	apache	struts	1.2.6	-
	运行在以下环境
	应用	apache	struts	1.2.7	-
	运行在以下环境
	应用	apache	struts	1.2.8	-
	运行在以下环境
	应用	apache	struts	1.2.9	-
	运行在以下环境
	应用	apache	struts	1.3.10	-
	运行在以下环境
	应用	apache	struts	1.3.5	-
	运行在以下环境
	应用	apache	struts	1.3.8	-
	运行在以下环境
	系统	fedora_22	struts	*		Up to (excluding) 1.3.10-14.fc22
	运行在以下环境
	系统	fedora_22	struts-javadoc	*		Up to (excluding) 1.3.10-14.fc22
	运行在以下环境
	系统	fedora_EPEL_7	struts	*		Up to (excluding) 1.3.10-14.1.el7
	运行在以下环境
	系统	fedora_EPEL_7	struts-javadoc	*		Up to (excluding) 1.3.10-14.1.el7
查看完整数据

阿里云评分 4.9

• 攻击路径 远程
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-20 输入验证不恰当