2017-09-11 Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する Security Facebook Twitter Pocket Hatebu 今回はStruts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証します。 monaski.hatenablog.com 環境構築は上記を参照。 POC検証 脆弱性のあるアプリで検証します。 名前を入力すると、Your nameに入力内容が表示されます。 POCを送信すると、入力内容ではなくコマンドの実行結果が表示されました。 実行させたのはwhoamiコマンドです。tomcatを動作させているユーザ名が表示されました。 任意のコマンドを実行できるため、脆弱性に該当する場合は早急に対処が必要です。