XWork绕过安全限制执行任意命令漏洞补丁

CVE ID: CVE-2010-1870 XWork是一个命令模式框架，用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞，远程攻击者可以利用此漏洞在系统上执行任意命令。 Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用，将每个HTTP参数名处理为OGNL（对象图形导航语言）语句，而OGNL将： user.address.city=Bishkek&user['favoriteDrink']=kumys 转换为： action.getUser().getAddress().setCity("Bishkek") action.getUser().setFavoriteDrink("kumys") 这是通过ParametersInterceptor来执行的，使用用户提供的HTTP参数调用ValueStack.setValue()。 除了获取和设置属性外，OGNL还支持其他一些功能： * 方法调用：foo() * 静态方式调用： @java.lang.System@exit(1) * 构建函数调用：new MyClass() * 处理上下文变量：#foo = new MyClass() 由于HTTP参数名为OGNL语句，为了防范攻击者通过HTTP参数调用任意方式，XWork使用了以下两个变量保护方式的执行： * OgnlContext的属性xwork.MethodAccessor.denyMethodExecution（默认设置为true） * SecurityMemberAccess私有字段allowStaticMethodAccess（默认设置为false） 为了方便开发人员访问各种常用的对象，XWork提供了一些预定义的上下文变量： * #application * #session * #request * #parameters * #attr * #context * #_memberAccess * #root * #this * #_typeResolver * #_classResolver * #_traceEvaluations * #_lastEvaluation * #_keepLastEvaluation 这些变量代表各种服务器端对象。为了防范篡改服务器端对象，XWork的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的unicode字符串表示\u0023，攻击者就可以绕过保护，修改保护Java方式执行的值： #_memberAccess['allowStaticMethodAccess'] = true #foo = new java .lang.Boolean("false") #context['xwork.MethodAccessor.denyMethodExecution'] = #foo #rt = @java.lang.Runtime@getRuntime() #rt.exec('mkdir /tmp/PWNED')