漏洞版本:
Struts 2.3.1.1
漏洞描述:
CVE ID:CVE-2011-3923 Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。 为了防范服务器端对象被恶意篡改,XWork的ParametersInterceptor(参数过滤器)是不允许参数名中出现#字符的。但如果使用16进制编码u0023或者8进制编码43,来替换#字符,攻击者就可以绕过限制,调用静态方法,执行任意Java代码甚至系统命令。
<* 参考
www.exploit-db.com/exploits/24874/*>
安全建议:
升级到官方最新版: http://struts.apache.org/