CVE-2013-1966

描述

Apache Struts 2 before 2.3.14.2 allows remote attackers to execute arbitrary OGNL code via a crafted request that is not properly handled when using the includeParams attribute in the (1) URL or (2) A tag.

如何修補 CVE-2013-1966

要修補 CVE-2013-1966,請將受影響套件升級到下列已修補版本。

• Maven/org.apache.struts:struts2-core—升級至 2.3.14.2 或更新版本
• Maven/org.apache.struts.xwork:xwork-core—升級至 2.3.14.2 或更新版本

CVE-2013-1966 正在被利用嗎?

可能 — EPSS 為 91.1%,屬於高被利用機率區間,建議優先修補。

受影響套件(2)

• >= 2.0.0, < 2.3.14.2
• >= 2.0.0, < 2.3.14.2

參考連結(6)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2013-1966
• PATCHgithub.com/apache/struts
• WEBbugzilla.redhat.com/show_bug.cgi?id=967656
• WEBcwiki.apache.org/confluence/display/WW/S2-013
• WEB