Apache Struts 2.0.x < 2.0.11.1 <s:url> and <s:a> Tag XSS (S2-002)

medium Nessus Plugin ID 117387

Synopsis

遠端主機上執行的 Web 應用程式使用受跨網站指令碼弱點影響的 Java 架構。

描述

遠端主機上執行的 Apache Struts 版本是比 2.0.11.1 舊的 2.0.x 版。因此,可能會因為將使用者提供的輸入錯誤驗證為 <s:url> 和 <s:a> 標記,而受到跨網站指令碼 (XSS) 弱點影響。請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Apache Struts 2.0.11.1 版或更新版本

另請參閱

http://www.nessus.org/u?c74c3ded

Plugin 詳細資訊

嚴重性: Medium

ID: 117387

檔案名稱: struts_2_0_11_1.nasl

版本: 1.5

類型: combined

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2018/9/10

已更新: 2022/4/11

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

CVSS 評分論據: Cross-site scripting

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: manual

CVSS v3

風險因素: Medium

基本分數: 4.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

弱點資訊

CPE: cpe:/a:apache:struts

修補程式發佈日期: 2008/3/3

弱點發布日期: 2008/3/3