安全公告/【CVE-2013-2248】

基本信息

漏洞名称:Struts2 S2-017开放重定向漏洞(CVE-2013-2248)
受影响操作系统:Asianux Server 4 (Hiranya SP4)
危险等级:中危
影响源码包:Struts
CVSS评分:5.8
发现日期:2024-04-26
修复版本:

漏洞描述

Apache Struts框架是一个基于Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目。 Apache Struts2 中存在多个开放重定向漏洞,该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用这些漏洞构造特制的URI诱使用户跟随,用户打开连接将被重定向到攻击者控制的网站,有助于钓鱼攻击,也可能存在其他形式的攻击。

修复方式

将 Struts2 升级到 2.3.15.1 及以上版本,下载地址:
https://archive.apache.org/dist/struts/
https://struts.apache.org/download

漏洞判定

版本比对检测原理:检查当前系统中Struts2版本是否在受影响版本内|版本比对检测结果:- Struts2
  当前安装版本:2.2.1.1
  应用相关信息:
  - 进程PID:883
  - 应用路径:/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本:2.2.1.1
  应用相关信息:
  - 进程PID:887
  - 应用路径:/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本:2.2.1.1
  应用相关信息:
  - 进程PID:882
  - 应用路径:/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本:2.2.1.1
  应用相关信息:
  - 进程PID:884
  - 应用路径:/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
- Struts2
  当前安装版本:2.2.1.1
  应用相关信息:
  - 进程PID:886
  - 应用路径:/home/bea/EsbSjxx/lib/struts2-core-2.2.1.1.jar
该主机存在此漏洞

补丁

参考

CVE-2013-2248,CNVD-2013-09784,CWE-20,CNNVD-201307-310