漏洞情报 | Apache Struts远程代码执行漏洞
近日,安识科技A-Team团队监测发现Apache Struts 官方发布安全公告,披露 S2-061 Struts 远程代码执行漏洞。该漏洞编号为CVE-2020-17530,漏洞等级:高危,漏洞评分:9.8。
Apache Struts2框架在使用某些tag等情况下,可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。对此,安识科技团队建议广大用户尽快将Apache Struts框架升级至最新版本,并请做好资产自查以及预防工作,以免遭受黑客攻击。
如果开发人员使用%{…}语法应用了强制OGNL求值,则标记的某些属性可能会执行双重求值。对不受信任的用户输入使用强制OGNL计算,可能会导致远程代码执行,类似于S2-059的 OGNL表达式注入方式。
攻击者可以在标签中输入求值时,强制OGNL计算,可导致远程代码执行,并获得该服务器控制权限。该漏洞危害较大,存在严重的安全隐患。
Apache Struts 2.0.0 - 2.5.25
安识科技建议广大用户及时更新Apache Struts框架版本:
https://struts.apache.org/download.cgi#struts2526
【-】2020年12月8日 Apache Struts 官方发布安全公告
【-】2020年12月8日 安识科技A-Team团队根据官网公告分析
【-】2020年12月8日 安识科技A-Team团队发布安全通告
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149019.html
必填 您当前尚未登录。 登录? 注册
必填(保密)