漏洞情报|Apache Struts远程代码执行漏洞风险公告(CVE-2020-17530)

2020-12-08 8,198

2020年12月8日,腾讯云安全运营中心监测到,Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞,CVE编号:CVE-2020-17530

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。据官方描述,如果开发人员在解析%{…}等标签时强制使用OGNL evaluation,则某些标签的属性可能会执行double evaluation,从而可能使不受信任的用户输入导致远程代码执行等安全风险。

风险等级

高风险

漏洞风险

漏洞被利用可能导致远程代码执行。

影响版本

Struts 2.0.0 - Struts 2.5.25

安全版本

Struts 2.5.26及更高版本

修复建议

1)避免不受信任的用户输入使用强制OGNL evaluation

2)升级到Struts 2.5.26及更高版本

【备注】:建议您在升级前做好数据备份工作,避免出现意外

漏洞参考

https://cwiki.apache.org/confluence/display/WW/S2-061




本文作者:云鼎实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/149022.html

Tags:
评论  (0)
快来写下你的想法吧!

云鼎实验室

文章数:49 积分: 164

我们正努力成为云上安全的技术领导者~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号