VULHUB ™

XWork是一个命令模式框架，用于支持Struts 2及其他应用。 在Atlassian Fisheye，Crucible和其他产品中使用的Struts 2.0.0至2.1.8.1版本中的Xwork中的OGNL表达式赋值功能使用许可的白名单，远程攻击者可以借助(1)＃context，(2)＃_memberAccess，(3)＃root，(4)＃this，(5)＃_typeResolver，(6)＃_classResolver，(7)＃_traceEvaluations，(8)＃_lastEvaluation，(9)＃_keepLastEvaluation和其他的OGNL上下文变量修改服务器端对象，并绕过ParameterInterceptors中的“＃”保护机制。

XWork是一个命令模式框架，用于支持Struts 2及其他应用。 在Atlassian Fisheye，Crucible和其他产品中使用的Struts 2.0.0至2.1.8.1版本中的Xwork中的OGNL表达式赋值功能使用许可的白名单，远程攻击者可以借助(1)＃context，(2)＃_memberAccess，(3)＃root，(4)＃this，(5)＃_typeResolver，(6)＃_classResolver，(7)＃_traceEvaluations，(8)＃_lastEvaluation，(9)＃_keepLastEvaluation和其他的OGNL上下文变量修改服务器端对象，并绕过ParameterInterceptors中的“＃”保护机制。