CNVD-ID | CNVD-2014-01552 |
发布时间 | 2014-03-11 |
危害级别 | 高 |
影响产品 | Apache struts 2.0.0-2.3.16 |
BUGTRAQ ID | 65999 |
CVE ID | CVE-2014-0094 |
漏洞描述 | Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts存在一个安全漏洞,由于ParametersInterceptor允许访问直接映射到getClass()方法的'class'参数,允许攻击者利用漏洞通过请求参数操作ClassLoader。 |
参考链接 | http://struts.apache.org/release/2.3.x/docs/s2-020.html |
漏洞解决方案 | Apache Struts 2.3.16.1已经修复该漏洞,建议用户下载更新: http://struts.apache.org/ |
漏洞发现者 | Mark Thomas and Przemyslaw Celej |
厂商补丁 | Apache Struts ClassLoader操作安全绕过漏洞的补丁 |
验证信息 | (暂无验证信息) |
报送时间 | 2014-03-08 |
收录时间 | 2014-03-11 |
更新时间 | 2014-04-24 |
漏洞附件 | (无附件) |