NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

Apache Struts 跨站请求伪造漏洞(CVE-2016-4430)

发布日期：2016-07-04
更新日期：2016-07-05

受影响系统：

Apache Group Struts2 2.3.20 - 2.3.28.1

描述：

CVE(CAN) ID: CVE-2016-4430

Struts2 是构建企业级Jave Web应用的可扩展框架。

Apache Struts 2 2.3.20 - 2.3.28.1版本错误处理了令牌验证，存在安全漏洞，远程攻击可执行跨站请求伪造攻击。

<*来源：Takeshi Terada websec02 dot g02 at gmail.com

链接：https://struts.apache.org/docs/s2-038.html
*>

建议：

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（S2-038）以及相应补丁:
S2-038：It is possible to bypass token validation and perform a CSRF attack
链接：https://struts.apache.org/docs/s2-038.html

补丁下载：https://struts.apache.org/docs/version-notes-2329.html

浏览次数：3221
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客