■質問
CVE-2017-9791は、Apache Struts 2 の「Object Graph Navigation Language(OGNL)式」を利用して RCE が可能になる脆弱性そうですが、
そのexploitコードには必ず、@ognl.OgnlContext@DEFAULT_MEMBER_ACCESSの文字列は含まれてるのでしょうか。
ognl.OgnlContext@DEFAULT_MEMBER_ACCESがなければ、クラスやメソッド(Actionクラス)にアクセスできないので、必ず@ognl.OgnlContext@DEFAULT_MEMBER_ACCESSの文字列が必要だ思っていますが、自信がないので質問させて頂きました。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/30 10:42
2017/07/30 13:15
退会済みユーザー
2017/07/30 14:10