您所在的位置: 首頁 >
安全研究 >
安全通告 >
Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警
Apache Struts 2 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache Struts2 S2-061遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-202012-449、CVE-2020-17530)情況的報送。成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補措施。
一、漏洞介紹
ApacheStruts2是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目中的一個子項目,是一個基于MVC設(shè)計的Web應(yīng)用框架。
洞源于Apache Struts2在某些標(biāo)簽屬性中使用OGNL表達(dá)式時,因為沒有做內(nèi)容過濾,導(dǎo)致攻擊者傳入精心構(gòu)造的請求時,可以造成OGNL二次解析,執(zhí)行指定的惡意代碼。
二、危害影響
成功利用漏洞的攻擊者可以在目標(biāo)系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞。建議用戶及時確認(rèn)產(chǎn)品版本,盡快采取修補措施。Apache官方更新鏈接如下:
http://struts.apache.org/download.cgi
原文來源:CNNVD安全動態(tài)