一、 漏洞 CVE-2017-12611 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Apache Struts 框架存在远程代码执行(RCE)漏洞,原因是使用了意外的 Freemarker 表达式而非字符串字面量。

## 影响版本
- 2.0.0 至 2.3.33
- 2.5 至 2.5.10.1

## 漏洞细节
在受影响的版本中,如果在 Freemarker 标签中使用了意外的表达式而不是字符串字面量,攻击者可以利用该漏洞执行任意代码。

## 影响
此漏洞可能导致远程代码执行,攻击者可能借此控制受影响的应用程序服务器。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Apache Struts 2.0.0 through 2.3.33 and 2.5 through 2.5.10.1, using an unintentional expression in a Freemarker tag instead of string literals can lead to a RCE attack.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Struts 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 2.0.1版本至2.3.33版本和2.5版本至2.5.10版本存在输入验证错误漏洞。远程攻击者可利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-12611 的公开POC
# POC 描述 源链接 神龙链接
1 A simple script for exploit RCE for Struts 2 S2-053(CVE-2017-12611) https://github.com/brianwrf/S2-053-CVE-2017-12611 POC详情
2 Apache Struts 2.0.0 through 2.3.33 and 2.5 through 2.5.10.1 uses an unintentional expression in a Freemarker tag instead of string literals, which makes it susceptible to remote code execution attacks. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2017/CVE-2017-12611.yaml POC详情
3 None https://github.com/tcetin704/CVE-2017-12611 POC详情
4 RCE project https://github.com/zeynepsilao/CVE-2017-12611_Exploit POC详情
三、漏洞 CVE-2017-12611 的情报信息
四、漏洞 CVE-2017-12611 的评论

暂无评论

发表评论