Apache Struts up to 2.2.1.1 跨站脚本攻击

admin

0
文章

0
评论

2023-12-08 23:12:36 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Apache Struts up to 2.2.1.1 跨站脚本攻击

CVE编号

CVE-2011-1772

利用情况

暂无

补丁情况

官方补丁

披露时间

2011-05-14

漏洞描述

Apache Struts是一款建立Java web应用程序的开放源代码架构。通过使用BASH语法的"<s:submit>"标签传递的Action或方法名，如果没有进行定义，在用于生成错误页面之前，XWork没有对其进行正确过滤。攻击者可以利用漏洞在目标用户浏览器上执行任意HTML和脚本代码。成功利用漏洞需要启用Dynamic Method Invocation(默认启用)。

解决建议

Apache Software Foundation Struts 2.2.3已经修复此漏洞，建议用户下载使用：http://struts.apache.org/

参考链接
http://jvn.jp/en/jp/JVN25435092/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2011-000106
http://secureappdev.blogspot.com/2011/05/apache-struts-2-xwork-webwork-reflected.html
http://secureappdev.blogspot.com/2011/05/Struts_2_XWork_WebWork_XSS_in_error_...
http://struts.apache.org/2.2.3/docs/version-notes-223.html
http://struts.apache.org/2.x/docs/s2-006.html
http://www.securityfocus.com/bid/47784
http://www.ventuneac.net/security-advisories/MVSA-11-006
http://www.vupen.com/english/advisories/2011/1198
https://issues.apache.org/jira/browse/WW-3579

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	struts	2.0.0	-
	运行在以下环境
	应用	apache	struts	2.0.1	-
	运行在以下环境
	应用	apache	struts	2.0.10	-
	运行在以下环境
	应用	apache	struts	2.0.11	-
	运行在以下环境
	应用	apache	struts	2.0.11.1	-
	运行在以下环境
	应用	apache	struts	2.0.11.2	-
	运行在以下环境
	应用	apache	struts	2.0.12	-
	运行在以下环境
	应用	apache	struts	2.0.13	-
	运行在以下环境
	应用	apache	struts	2.0.14	-
	运行在以下环境
	应用	apache	struts	2.0.2	-
	运行在以下环境
	应用	apache	struts	2.0.3	-
	运行在以下环境
	应用	apache	struts	2.0.4	-
	运行在以下环境
	应用	apache	struts	2.0.5	-
	运行在以下环境
	应用	apache	struts	2.0.6	-
	运行在以下环境
	应用	apache	struts	2.0.7	-
	运行在以下环境
	应用	apache	struts	2.0.8	-
	运行在以下环境
	应用	apache	struts	2.0.9	-
	运行在以下环境
	应用	apache	struts	2.1.0	-
	运行在以下环境
	应用	apache	struts	2.1.1	-
	运行在以下环境
	应用	apache	struts	2.1.2	-
	运行在以下环境
	应用	apache	struts	2.1.3	-
	运行在以下环境
	应用	apache	struts	2.1.4	-
	运行在以下环境
	应用	apache	struts	2.1.5	-
	运行在以下环境
	应用	apache	struts	2.1.6	-
	运行在以下环境
	应用	apache	struts	2.1.8	-
	运行在以下环境
	应用	apache	struts	2.1.8.1	-
	运行在以下环境
	应用	apache	struts	2.2.1	-
	运行在以下环境
	应用	apache	struts	2.2.1.1	-
	运行在以下环境
	应用	opensymphony	webwork	*	-
	运行在以下环境
	应用	opensymphony	xwork	*	-