Apache Struts 至 2.3.16.2 ParametersInterceptor getClass class 访问控制漏洞

admin

0
文章

0
评论

2023-12-07 03:16:50 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Apache Struts 至 2.3.16.2 ParametersInterceptor getClass class 访问控制漏洞

CVE编号

CVE-2014-0116

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-05-08

漏洞描述

Apache Struts框架是一个基于Java Servlets,JavaBeans, 和JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts 2.0.0-2.3.16.2版本未能正确限制对"class"参数的访问权，该参数通过CookieInterceptor直接映射到 "getClass()"方法。当"*"用来配置cookiesName参数时，攻击者可利用此漏洞篡改应用服务器使用的ClassLoader，然后更改会话或请求的状态。该漏洞源于对CVE-2014-0113的不完整修复。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://struts.apache.org/release/2.3.x/docs/s2-022.html补丁下载：http://struts.apache.org/download.cgi#struts23163

参考链接
http://secunia.com/advisories/59816
http://struts.apache.org/release/2.3.x/docs/s2-022.html
http://www.huawei.com/en/security/psirt/security-bulletins/security-advisorie...
http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
http://www.securityfocus.com/bid/67218

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	struts	2.0.0	-
	运行在以下环境
	应用	apache	struts	2.0.1	-
	运行在以下环境
	应用	apache	struts	2.0.10	-
	运行在以下环境
	应用	apache	struts	2.0.11	-
	运行在以下环境
	应用	apache	struts	2.0.11.1	-
	运行在以下环境
	应用	apache	struts	2.0.11.2	-
	运行在以下环境
	应用	apache	struts	2.0.12	-
	运行在以下环境
	应用	apache	struts	2.0.13	-
	运行在以下环境
	应用	apache	struts	2.0.14	-
	运行在以下环境
	应用	apache	struts	2.0.2	-
	运行在以下环境
	应用	apache	struts	2.0.3	-
	运行在以下环境
	应用	apache	struts	2.0.4	-
	运行在以下环境
	应用	apache	struts	2.0.5	-
	运行在以下环境
	应用	apache	struts	2.0.6	-
	运行在以下环境
	应用	apache	struts	2.0.7	-
	运行在以下环境
	应用	apache	struts	2.0.8	-
	运行在以下环境
	应用	apache	struts	2.0.9	-
	运行在以下环境
	应用	apache	struts	2.1.0	-
	运行在以下环境
	应用	apache	struts	2.1.1	-
	运行在以下环境
	应用	apache	struts	2.1.2	-
	运行在以下环境
	应用	apache	struts	2.1.3	-
	运行在以下环境
	应用	apache	struts	2.1.4	-
	运行在以下环境
	应用	apache	struts	2.1.5	-
	运行在以下环境
	应用	apache	struts	2.1.6	-
	运行在以下环境
	应用	apache	struts	2.1.8	-
	运行在以下环境
	应用	apache	struts	2.1.8.1	-
	运行在以下环境
	应用	apache	struts	2.2.1	-
	运行在以下环境
	应用	apache	struts	2.2.1.1	-
	运行在以下环境
	应用	apache	struts	2.2.3	-
	运行在以下环境
	应用	apache	struts	2.2.3.1	-
	运行在以下环境
	应用	apache	struts	2.3.1	-
	运行在以下环境
应用	apache	struts	2.3.1.1	-
运行在以下环境
应用	apache	struts	2.3.1.2	-
运行在以下环境
应用	apache	struts	2.3.12	-
运行在以下环境
应用	apache	struts	2.3.14	-
运行在以下环境
应用	apache	struts	2.3.14.1	-
运行在以下环境
应用	apache	struts	2.3.14.2	-
运行在以下环境
应用	apache	struts	2.3.14.3	-
运行在以下环境
应用	apache	struts	2.3.15	-
运行在以下环境
应用	apache	struts	2.3.15.1	-
运行在以下环境
应用	apache	struts	2.3.15.2	-
运行在以下环境
应用	apache	struts	2.3.15.3	-
运行在以下环境
应用	apache	struts	2.3.16	-
运行在以下环境
应用	apache	struts	2.3.16.1	-
运行在以下环境
应用	apache	struts	2.3.16.2	-
运行在以下环境
应用	apache	struts	2.3.3	-
运行在以下环境
应用	apache	struts	2.3.4	-
运行在以下环境
应用	apache	struts	2.3.4.1	-
运行在以下环境
应用	apache	struts	2.3.7	-
运行在以下环境
应用	apache	struts	2.3.8	-
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 0