脆弱性的影响

DoS攻击可用于Spring安全措施

最大安全评级

受影响的软件

Struts 2.5 - Struts 2.5.10.1

问题

当使用Spring AOP功能来保护Struts操作时,当用户被正确认证时,可能会执行DoS攻击

建议

升级到Apache Struts版本2.5.12。

向后兼容性

没有反向不兼容问题。

解决方法

请在struts.xml 文件中定义以下常量:

<constant name="struts.additional.excludedPatterns" value="..accessDecisionManager.." />

参考连接:https://cwiki.apache.org/confluence/display/WW/S2-049

最后修改:2021 年 03 月 09 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏