当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Apache Struts CSRF绕过漏洞(CVE-2014-7809)

     发表日期:2014-12-06 14:14:00

Apache Struts CSRF绕过漏洞(CVE-2014-7809)
CVE-ID:CVE-2014-7809
发布日期:2014-12-10
更新日期:2014-12-12
受影响系统:
Apache Group Struts 2.0.0-2.3.20
详细信息:

Struts是用于构建Web应用的开放源码架构。

 

Apache Struts 2.0.0-2.3.20版本生成的令牌值可被预测,这可使远程攻击者利用此漏洞绕过CSRF保护机制。


来源:
Łukasz
参考信息:
http://www.securityfocus.com/archive/1/archive/1/534175/100/0/threaded
解决办法:
厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁 Struts 2.3.20 修复这个安全问题,请到厂商的主页下载:

 

http://struts.apache.org/download.cgi#struts2320

http://struts.apache.org/docs/s2-023.html