网络信息安全
网络信息安全
关于Apache Struts 2高危漏洞的预警提示
发文人:唐怡新 审核人: 陈万顺 发布日期:2021-01-11浏览次数:

一、漏洞详情

Apache官方发布Struts 2.0.0到2.5.25版本中存在OGNL表达式注入的远程代码执行漏洞(S2-061)公告,对应CVE编号:CVE-2020-17530。

根据公告,在Struts 2.0.0到2.5.25版本中,在Struts某些标签属性内强制执行OGNL表达式,可能导致成远程代码执行效果,恶意攻击者成功利用该漏洞可以获得目标系统管理权限,建议部署有该框架的应用及时升级到漏洞修复的版本。

CVE-2020-17530漏洞,与S2-059漏洞相似,如果开发人员使用了%{...}语法,则攻击者可以在Struts某些标签属性内强制执行OGNL表达式,造成OGNL表达式二次执行,从而实现代码执行效果。

二、影响范围

Struts 2.0.0-Struts 2.5.25

三、修复建议

目前漏洞细节已经部分公开,参考S2-059的利用应该很快会出现利用代码,建议及时测试并升级到漏洞修复的版本,或部署必要的安全防护设备拦截恶意攻击代码。官方下载地址:http://struts.apache.org/download.cgi。

基于Struts 2框架的开发不要在标签属性中使用%{...}语法引用未经验证的用户可修改输入,由于Struts 2历史上报过多次漏洞,建议使用该组件的用户多专注官方漏洞公告。

上一篇:关于Oracle Database Server Scheduler component未授权访问漏洞的预警提示

下一篇:关于Apache Shiro身份验证绕过漏洞(CVE-2020-17510)的预警提示

南校区:芜湖市弋江区文津西路

北校区:芜湖市鸠江区银湖北路

联系我们
北校区

联系电话:0553-5775673

办公地点:北校区博实楼(人文楼)五楼

邮编:241006

南校区

联系电话:0553-5777122

办公地点:南校区正德楼八楼

邮编:241003

常用链接

芜职企业号

芜职智慧校园