发布日期：2008-01-12
更新日期：2011-03-14

受影响系统：

Apache Group Struts < 2.1.1
Apache Group Struts < 2.0.11.1

描述：

---

BUGTRAQ  ID: 34686
CVE(CAN) ID: CVE-2008-6682

Struts是用于构建Web应用的开放源码架构。

Struts 2.0.1.11、2.1.1之前版本没有正确处理s:a标签href属性里双引号字符，s:url标签action属性里的参数，存在多个跨站脚本漏洞，可使远程攻击者注入任意Web脚本或HTML。

<*来源：Fabio Gandola
        Antonio Petrelli
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://struts.apache.org/download.cgi#struts23151
http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449i20.html
http://www.nabble.com/Feedback%3A-WW-2414%2C-XSS-attack-is-possible-if-using-%3Cs%3Aurl-...%3E-and-%3Cs%3Aa-...%3E-td14771449.html
https://issues.apache.org/struts/browse/WW-2427
https://issues.apache.org/struts/browse/WW-2414

浏览次数：2792
严重程度：0（网友投票）