struts2 代码执行 (CVE-2021-31805)
| ID: | 16484 |
|---|---|
| 标题: | struts2 代码执行 (CVE-2021-31805) |
| 描述: | struts2 代码执行 (CVE-2021-31805) vulfocus/struts2-cve_2021_31805:latest 该漏洞由于对CVE-2020-17530的修复不完整造成的,CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 其中x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行。在CVE-2021-31805漏洞中,仍然存在部分标签属性会造成攻击者恶意构造的OGNL表达式执行,导致远程代码执行。 测试路径:/s2_062/index.action |
| 类型: | WEB |
| 网站: | vulfocus |
| 题目链接: | https://vulfocus.cn |
| 赛事: | None |
| 年度: | None |
| Flag值: | None |
| writeup: | 登录 https://vulfocus.cn 搜索struts2 代码执行 (CVE-2021-31805) |