漏洞信息详情
Apache Atlassian Fisheye Struts Xwork设计错误漏洞
- CNNVD编号:CNNVD-201008-173 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2010-1870
- 漏洞类型: 其他
- 发布时间: 2010-08-27
- 威胁类型: 远程
- 更新时间: 2020-10-21
- 厂 商: apache
- 漏洞来源: b0yd
-
漏洞简介
XWork是一个命令模式框架,用于支持Struts 2及其他应用。
在Atlassian Fisheye,Crucible和其他产品中使用的Struts 2.0.0至2.1.8.1版本中的Xwork中的OGNL表达式赋值功能使用许可的白名单,远程攻击者可以借助(1)#context,(2)#_memberAccess,(3)#root,(4)#this,(5)#_typeResolver,(6)#_classResolver,(7)#_traceEvaluations,(8)#_lastEvaluation,(9)#_keepLastEvaluation和其他的OGNL上下文变量修改服务器端对象,并绕过ParameterInterceptors中的“#”保护机制。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://struts.apache.org/2.2.1/docs/s2-005.html
参考网址
来源:OSVDB
链接:http://www.osvdb.org/66280
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2010/Jul/183
来源:FULLDISC
链接:http://seclists.org/fulldisclosure/2020/Oct/23
来源:SECUNIA
链接:http://secunia.com/advisories/59110
来源:MISC
链接:http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html
来源:SREASON
链接:http://securityreason.com/securityalert/8345
来源:BID
链接:https://www.securityfocus.com/bid/41592
来源:CONFIRM
链接:http://confluence.atlassian.com/display/FISHEYE/FishEye+Security+Advisory+2010-06-16
来源:EXPLOIT-DB
链接:http://www.exploit-db.com/exploits/14360
来源:CONFIRM
链接:http://struts.apache.org/2.2.1/docs/s2-005.html
来源:CONFIRM
链接:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140709-struts2
来源:MISC
链接:https://packetstormsecurity.com/files/159643/LISTSERV-Maestro-9.0-8-Remote-Code-Execution.html
来源:packetstormsecurity.com
链接:https://packetstormsecurity.com/files/159643/LISTSERV-Maestro-9.0-8-Remote-Code-Execution.html
受影响实体
- Apache Struts:2.1.0<!--2000-1-1-->
- Apache Struts:2.1.8<!--2000-1-1-->
- Apache Struts:2.1.8.1<!--2000-1-1-->
- Apache Struts:2.1.2<!--2000-1-1-->
- Apache Struts:2.1.1<!--2000-1-1-->
补丁
- struts2-2.2.1-docs<!---->
- struts2-2.2.1-lib<!---->
- struts2-2.2.1-apps<!---->
- struts2-2.2.1-all<!---->
- struts2-2.2.1-src<!---->
还没有评论,来说两句吧...