关联漏洞
标题:
Apache Struts 输入验证错误漏洞
(CVE-2018-11776)
描述:Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。Apache Struts 2是Apache Struts的下一代产品,是在Struts 1和WebWork的技术基础上进行了合并的全新Struts 2框架,其体系结构与Struts 1差别较大。 Apache Struts 2.3版本至2.3.34版本和2.5版本至2.5.16版本中存在输入验证漏洞
介绍
CVE-2018-11776 là một lỗ hổng bảo mật trong Apache Struts, một framework phổ biến để phát triển ứng dụng web. Lỗ hổng này cho phép tin tặc thực hiện các cuộc tấn công từ xa thông qua việc chèn mã độc vào các trường dữ liệu của yêu cầu HTTP. Lỗ hổng này đã được khai thác rộng rãi trong các cuộc tấn công mạng trên toàn thế giới, gây ra nhiều thiệt hại cho các tổ chức và cá nhân.
Nguyên nhân:
CVE-2018-11776 là kết quả của một lỗi lập trình trong thư viện OGNL (Object-Graph Navigation Language) được sử dụng trong Apache Struts để xử lý các biểu thức điều kiện. Lỗi này cho phép tin tặc chèn mã độc vào các biểu thức điều kiện thông qua việc chèn các ký tự đặc biệt vào trường dữ liệu của yêu cầu HTTP.
Tác động:
Lỗ hổng này cho phép tin tặc thực hiện các cuộc tấn công từ xa, có thể làm suy yếu hệ thống, lấy cắp thông tin quan trọng hoặc thực hiện các hành động độc hại khác. Những tổ chức và cá nhân không vá lỗ hổng này có thể bị tấn công và gặp nhiều thiệt hại, như mất thông tin quan trọng, tiền bạc hoặc ảnh hưởng đến uy tín của họ.Lỗ hổng này đã được khai thác rộng rãi trong các cuộc tấn công mạng trên toàn thế giới.
Ví dụ như cuộc tấn công Equifax vào năm 2017, tấn công này đã làm rò rỉ thông tin cá nhân của hàng triệu người dùng. Tác động của lỗ hổng này kéo dài đến hiện tại, khi các tổ chức và cá nhân vẫn cần phải cập nhật và vá các hệ thống của mình để ngăn chặn các cuộc tấn công tương tự.
文件快照
[4.0K] /data/pocs/39a44fab7070e565c7148bc0b6ba3e79ef244003
├── [1.9K] CVE-2018-11776-FIS.py
└── [1.8K] README.md
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。