Apache Struts是一款开发Java web应用程序的开源Web应用框架。 Apache Struts 2.3.4.1之前版本存在安全漏洞,可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。 1)令牌处理机制没有正确验证令牌名称配置参数,通过操作令牌值参数为会话属性值,该漏洞可被利用执行跨站请求伪造攻击。 2)在处理请求参数时的错误可被利用消耗CPU资源,通过包含OGNL表达式的参数名称可造成拒绝服务。 0 Apache Group Struts 2.x 厂商补丁: Apache Group ------------ Apache Group已经为此发布了一个安全公告(s2-010)以及相应补丁: s2-010:Apache Struts 2 Documentation 链接:http://struts.apache.org/2.x/docs/s2-010.html
Apache Struts是一款开发Java web应用程序的开源Web应用框架。 Apache Struts 2.3.4.1之前版本存在安全漏洞,可被恶意用户利用执行跨站请求伪造和拒绝服务攻击。 1)令牌处理机制没有正确验证令牌名称配置参数,通过操作令牌值参数为会话属性值,该漏洞可被利用执行跨站请求伪造攻击。 2)在处理请求参数时的错误可被利用消耗CPU资源,通过包含OGNL表达式的参数名称可造成拒绝服务。 0 Apache Group Struts 2.x 厂商补丁: Apache Group ------------ Apache Group已经为此发布了一个安全公告(s2-010)以及相应补丁: s2-010:Apache Struts 2 Documentation 链接:http://struts.apache.org/2.x/docs/s2-010.html