阿里云漏洞库

漏洞描述

Apache Struts2是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。

动态方法调用是一种机制，Struts2中动态方法调用是为了解决一个Action对应多个请求的处理，以免Action太多，但这种机制存在可利用的安全漏洞，但是直到现在默认启用时都会弹出警告信息，提醒用户应该尽可能将其关闭。Apache Struts 2.0.0-2.3.15.1版本启用的是默认动态调用方法，这可能会影响系统的机密性、可用性、完整性。

解决建议

请广大用户升级到2.3.15.2版本：
http://struts.apache.org/release/2.3.x/docs/s2-019.html

参考链接
http://archives.neohapsis.com/archives/bugtraq/2013-09/0107.html
http://struts.apache.org/release/2.3.x/docs/s2-019.html
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html
http://www.securityfocus.com/bid/64758
http://www.securitytracker.com/id/1029078

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	struts	2.0.0	-
	运行在以下环境
	应用	apache	struts	2.0.1	-
	运行在以下环境
	应用	apache	struts	2.0.10	-
	运行在以下环境
	应用	apache	struts	2.0.11	-
	运行在以下环境
	应用	apache	struts	2.0.11.1	-
	运行在以下环境
	应用	apache	struts	2.0.11.2	-
	运行在以下环境
	应用	apache	struts	2.0.12	-
	运行在以下环境
	应用	apache	struts	2.0.13	-
	运行在以下环境
	应用	apache	struts	2.0.14	-
	运行在以下环境
	应用	apache	struts	2.0.2	-
	运行在以下环境
	应用	apache	struts	2.0.3	-
	运行在以下环境
	应用	apache	struts	2.0.4	-
	运行在以下环境
	应用	apache	struts	2.0.5	-
	运行在以下环境
	应用	apache	struts	2.0.6	-
	运行在以下环境
	应用	apache	struts	2.0.7	-
	运行在以下环境
	应用	apache	struts	2.0.8	-
	运行在以下环境
	应用	apache	struts	2.0.9	-
	运行在以下环境
	应用	apache	struts	2.1.0	-
	运行在以下环境
	应用	apache	struts	2.1.1	-
	运行在以下环境
	应用	apache	struts	2.1.2	-
	运行在以下环境
	应用	apache	struts	2.1.3	-
	运行在以下环境
	应用	apache	struts	2.1.4	-
	运行在以下环境
	应用	apache	struts	2.1.5	-
	运行在以下环境
	应用	apache	struts	2.1.6	-
	运行在以下环境
	应用	apache	struts	2.1.8	-
	运行在以下环境
	应用	apache	struts	2.1.8.1	-
	运行在以下环境
	应用	apache	struts	2.2.1	-
	运行在以下环境
	应用	apache	struts	2.2.1.1	-
	运行在以下环境
	应用	apache	struts	2.2.3	-
	运行在以下环境
	应用	apache	struts	2.2.3.1	-
	运行在以下环境
	应用	apache	struts	2.3.1	-
	运行在以下环境
应用	apache	struts	2.3.1.1	-
运行在以下环境
应用	apache	struts	2.3.1.2	-
运行在以下环境
应用	apache	struts	2.3.12	-
运行在以下环境
应用	apache	struts	2.3.14	-
运行在以下环境
应用	apache	struts	2.3.14.1	-
运行在以下环境
应用	apache	struts	2.3.14.2	-
运行在以下环境
应用	apache	struts	2.3.14.3	-
运行在以下环境
应用	apache	struts	2.3.15	-
运行在以下环境
应用	apache	struts	2.3.15.1	-
运行在以下环境
应用	apache	struts	2.3.3	-
运行在以下环境
应用	apache	struts	2.3.4	-
运行在以下环境
应用	apache	struts	2.3.4.1	-
运行在以下环境
应用	apache	struts	2.3.7	-
运行在以下环境
应用	apache	struts	2.3.8	-
运行在以下环境
系统	sles_11	libmysql55client18	*		Up to (excluding) 5.5.43-0.7
运行在以下环境
系统	suse_11	libmysql55client18	*		Up to (excluding) 5.5.43-0.7
运行在以下环境
系统	suse_11_SP3	libmysql55client18-32bit	*		Up to (excluding) 5.0.96-0.6.13

攻击路径

远程
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

POC 已公开
补丁情况

没有补丁
数据保密性

数据泄露
数据完整性

传输被破坏
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-284	访问控制不恰当
NVD-CWE-noinfo

高危 Apache Struts2 2.0.0～2.3.15.1 远程命令执行漏洞S2-019（CVE-2013-4316）

漏洞描述

解决建议

参考链接

受影响软件情况