S2-021 - Apache Struts 2 Wiki - Apache Software Foundation

テクノロジーカテゴリーの変更を依頼記事元:

struts.apache.org

3 usersがブックマークコメント

記事へのコメント1件

注目コメント
新着コメント

yojik classLoaderに対するアタックだけじゃなくて、sessionとかattributeに値突っ込めるからかー。リクエストパラメータを直接リフレクションに利用する設計思想そのものがダメという感じ

2014/04/28 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

S2-021 - Apache Struts 2 Wiki - Apache Software Foundation

Probl emThe excluded parameter pattern introduced in version 2.3.16.1 to block access to getClass(... Probl emThe excluded parameter pattern introduced in version 2.3.16.1 to block access to getClass() method wasn't sufficient. It is possible to omit that with specially crafted requests. Also CookieInterceptor is vulnerable for the same kind of attack when it was configured to accept all cookies (when "*" is used to configure cookiesName param). SolutionIn Struts 2.3.20 improved "class" pattern was