Apache Struts2(S2-005)远程代码执行漏洞

日期: 2021-08-03 | 影响软件: Apache Struts2 | POC: 否

漏洞描述

s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,执行任意命令。

PoC代码

暂无

相关漏洞推荐