漏洞情报|Apache Struts远程代码执行漏洞风险公告(CVE-2020-17530)
2020-12-08 19:36:43 Author: www.secpulse.com(查看原文) 阅读量:301 收藏

2020年12月8日,腾讯云安全运营中心监测到,Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞,CVE编号:CVE-2020-17530

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。据官方描述,如果开发人员在解析%{…}等标签时强制使用OGNL evaluation,则某些标签的属性可能会执行double evaluation,从而可能使不受信任的用户输入导致远程代码执行等安全风险。

风险等级

高风险

漏洞风险

漏洞被利用可能导致远程代码执行。

影响版本

Struts 2.0.0 - Struts 2.5.25

安全版本

Struts 2.5.26及更高版本

修复建议

1)避免不受信任的用户输入使用强制OGNL evaluation

2)升级到Struts 2.5.26及更高版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-061

本文作者:云鼎实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149022.html


文章来源: https://www.secpulse.com/archives/149022.html
如有侵权请联系:admin#unsafe.sh