Apache Struts远程代码执行漏洞 (CVE-2020-17530)

漏洞描述

        近日,Apache Struts披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。如果开发人员使用了 %{…} 语法,那么攻击者可以通过构造恶意的 OGNL 表达式,引发OGNL表达式二次解析,最终造成远程代码执行的影响。

 

【受影响版本】

Apache Struts 2.0.0 - 2.5.25

【安全版本】

Apache Struts >= 2.5.26

        Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。

影响范围

Apache Struts 2.0.0 - 2.5.25

解决方案

缓解措施:

如果目前无法升级,若业务环境允许,使用白名单限制相关web项目的访问来降低风险。

修复建议:

将Apache Struts框架升级至最新版本。

发表评论

评论已关闭。

相关文章