Apache Software Foundation (ASF) Struts 'org.apache.struts.taglib.html.Constants.CANCEL' 参数安全绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195572 漏洞类型
发布时间 2006-03-30 更新时间 2006-03-31
CVE编号 CVE-2006-1546 CNNVD-ID CNNVD-200603-500
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200603-500
|漏洞详情
ApacheSoftwareFoundation(ASF)Struts1.2.9之前版本可让远程攻击者通过以下途径绕过身份验证程序:用一条带'org.apache.struts.taglib.html.Constants.CANCEL'参数的请求,从而引起操作被取消,但不会被未使用isCancelled检查的应用程序检测到。
|参考资料

来源:struts.apache.org
链接:http://struts.apache.org/struts-doc-1.2.9/userGuide/release-notes.html
来源:MLIST
名称:[struts-user]20060121ValidationSecurityHole?
链接:http://mail-archives.apache.org/mod_mbox/struts-user/200601.mbox/%3c20060121221800.15814.qmail@web32607.mail.mud.yahoo.com%3e
来源:MLIST
名称:[struts-devel]20060122Re:ValidationSecurityHole?
链接:http://mail-archives.apache.org/mod_mbox/struts-dev/200601.mbox/%3cdr169r$623$2@sea.gmane.org%3e
来源:issues.apache.org
链接:http://issues.apache.org/bugzilla/show_bug.cgi?id=38374
来源:XF
名称:struts-iscancelled-security-bypass(25612)
链接:http://xforce.iss.net/xforce/xfdb/25612
来源:BID
名称:17342
链接:http://www.securityfocus.com/bid/17342
来源:VUPEN
名称:ADV-2006-1205
链接:http://www.frsirt.com/english/advisories/2006/1205
来源:SECTRACK
名称:1015856
链接:http://securitytracker.com/id?1015856
来源:SECUNIA
名称:20117
链接:http://secunia.com/advisories/20117
来源:SECUNIA
名称:19493
链接:http://secunia.com/advisories/19493
来源:SUSE
名称:SUSE-SR:2006:010
链接:http://lists.suse.com/archive/su