FreeBuf网络安全行业门户 FreeBuf网络安全行业门户 ·

Strust2 漏洞解析及复现(CVE-2018-11776)
💡 原文中文,约1600字,阅读约需4分钟。
📝

内容提要

Struts2存在远程命令执行漏洞(CVE-2018-11776),影响版本为Struts 2.3 - Struts 2.3.34和Struts 2.5 - Struts 2.5.16。攻击者可通过未设置namespace值或使用通配符namespace的方式,触发远程代码执行,漏洞利用可通过payload进行优化,执行任意命令。

🎯

关键要点

  • Struts2存在远程命令执行漏洞(CVE-2018-11776),影响版本为Struts 2.3 - Struts 2.3.34和Struts 2.5 - Struts 2.5.16。
  • 漏洞因未设置namespace值或使用通配符namespace,可能导致远程代码执行。
  • 漏洞利用可通过payload进行优化,执行任意命令。
  • Struts2是基于Java开发的MVC设计模式的Web应用框架。
  • 漏洞复现步骤包括docker启动环境和运用特定payload触发漏洞。
  • 示例payload可执行任意命令,如'calc'或'id',并需进行URL编码。
🏷️

标签

CVE-2018-11776 Struts2 cve payload 任意命令 漏洞 远程命令执行漏洞
➡️

继续阅读

  1. Copy Fail:2017年至今的漏洞,一个脚本获得 Linux root 管理员权限|CVE-2026-31431
    漏洞编号CVE-2026-31431允许非特权用户通过简单代码获取Linux系统的root权限。该漏洞影响自2017年以来的多个Linux发行版,原因是内...
  2. 微软与OpenAI新协议的详细解析
    微软与OpenAI达成新协议,允许OpenAI在所有云平台上提供服务,尽管与亚马逊的合作令微软不满。协议取消了与人工通用智能(AGI)相关的条款,使双方关...
  3. 安全公告:Qt声明模块中VectorImage组件的QML代码注入漏洞影响Qt
    Qt的VectorImage组件存在代码注入漏洞(CVE-2025-14576),影响版本6.8.0至6.8.6及6.9.0至6.10.1。该漏洞允许恶意...
  4. Microsoft’s Xbox mode is now available for all Windows 11 PCs
    Microsoft is now rolling out its Xbox mode to all Windows 11 PCs. The new Xbo...
  5. Meta threatens to pull its apps from New Mexico if forced to make ‘technologically impractical’ changes
    Meta says it may be forced to pull Facebook, Instagram, and WhatsApp from New...
  6. With Saros, Housemarque makes a case for doing next-gen games differently
    It is generally frowned upon to care too much about appearances. We have a lo...
👤 个人中心
在公众号发送验证码完成验证