发布日期：2016-03-15
更新日期：2016-03-18

受影响系统：

Apache Group Struts2 2.0.0 - 2.3.14.1

描述：

CVE(CAN) ID: CVE-2016-0785

Struts2 是构建企业级Jave Web应用的可扩展框架。

Struts 2.0.0 - 2.3.24.1版本对特定标签相关属性值进行双重OGNL评估，由于未有效验证用户提供的输入，可使未经身份验证的远程攻击者通过向受影响应用提供构造的属性标签数据，在目标系统上执行任意代码。

<*来源：Romain Gaucher rgaucher
 
  链接：http://struts.apache.org/docs/s2-029.html
*>

建议：

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（s2-029）以及相应补丁:
s2-029：S2-029
链接：http://struts.apache.org/docs/s2-029.html

补丁下载：http://struts.apache.org/docs/version-notes-2326.html

Struts2学习笔记-Value Stack(值栈)和OGNL表达式  http://www.linuxidc.com/Linux/2015-07/120529.htm 

struts2文件上传(保存为BLOB格式) http://www.linuxidc.com/Linux/2014-06/102905.htm

Struts2的入门实例 http://www.linuxidc.com/Linux/2013-05/84618.htm

Struts2实现ModelDriven接口 http://www.linuxidc.com/Linux/2014-04/99466.htm

遇到的Struts2文件下载乱码问题 http://www.linuxidc.com/Linux/2014-03/98990.htm

Struts2整合Spring方法及原理 http://www.linuxidc.com/Linux/2013-12/93692.htm

Struts2 注解模式的几个知识点 http://www.linuxidc.com/Linux/2013-06/85830.htm

Struts 的详细介绍：请点这里
Struts 的下载地址：请点这里

本文永久更新链接地址：http://www.linuxidc.com/Linux/2016-03/129314.htm

TAG：