Apache Struts2(S2-012)远程代码执行漏洞(CVE-2013-1965)

日期: 2024-05-08 | 影响软件: Apache Struts2 | POC: 否

漏洞描述

S2-012中,包含特制请求参数的请求可用于将任意 OGNL代码注入属性,然后用作重定向地址的请求参数,这将导致进一步评估。当重定向结果从堆栈中读取并使用先前注入的代码作为重定向参数时,将进行第二次评估。这使恶意用户可以将任意OGNL 语句放入由操作公开的任何未过滤的 String 变量中,并将其评估为 OGNL 表达式,以启用方法执行并执行任意方法,从而绕过 Struts 和OGNL 库保护。

PoC代码

暂无

相关漏洞推荐