N/A

CookieInterceptor in Apache Struts before 2.3.20, when a wildcard cookiesName value is used, does not properly restrict access to the getClass method, which allows remote attackers to "manipulate" the ClassLoader and execute arbitrary code via a crafted request. NOTE: this vulnerability exists because of an incomplete fix for CVE-2014-0094.

N/A

N/A

Apache Struts 权限许可和访问控制问题漏洞

Apache Struts是美国阿帕奇（Apache）软件基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。 Apache Struts2 2.3.16.1及之前版本的CookieInterceptor中存在权限许可和访问控制问题漏洞，该漏洞源于当使用通配符cookiesName值时，程序没有正确限制对getClass方法的访问。远程攻击者可通过发送特制的请求利用该漏洞使用ClassLoader，执行任意代码。

N/A

N/A