Apache Struts 多个开放重定向漏洞

CNNVD-ID编号	CNNVD-201307-310	CVE编号	CVE-2013-2248
发布时间	2013-07-17	更新时间	2013-07-17
漏洞类型	输入验证	漏洞来源	Takeshi Terada of Mitsui Bussan Secure Directions, Inc.
危险等级	中危	威胁类型	远程
厂商	apache

漏洞介绍

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

Apache Struts 2.0.0至2.3.15版本中存在多个开放重定向漏洞，该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用这些漏洞构造特制的URI诱使用户跟随，用户打开连接将被重定向到攻击者控制的网站，有助于钓鱼攻击，也可能存在其他形式的攻击。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://struts.apache.org/release/2.3.x/docs/s2-017.html