【風(fēng)險(xiǎn)通告】Apache Struts 遠(yuǎn)程代碼執(zhí)行漏洞
2020-08-13 00:00:00
2020年8月13日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Struts 官方發(fā)布安全公告披露了S2-059 Struts 遠(yuǎn)程代碼執(zhí)行漏洞�。
該漏洞風(fēng)險(xiǎn)極大,建議廣大用戶及時(shí)將Apache Struts框架升級(jí)到安全版本����,避免被黑客攻擊造成損失。
風(fēng)險(xiǎn)等級(jí)
高危
漏洞編號(hào)
CVE-2019-0230
漏洞描述
Apache Struts2框架是一個(gè)用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架���。Apache Struts于2020年8月13日披露 S2-059 Struts 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0230)��。Apache Struts的框架在被強(qiáng)制使用時(shí)����,會(huì)對(duì)標(biāo)簽的屬性進(jìn)行二次求值��,這可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。只有在Struts標(biāo)簽屬性中強(qiáng)制使用OGNL表達(dá)式時(shí)���,才能觸發(fā)漏洞��。
影響版本
Apache Struts 2.0.0 - 2.5.20
修復(fù)建議
盡快將Apache Struts框架升級(jí)至2.5.22版本
參考鏈接
https://cwiki.apache.org/confluence/display/WW/S2-059
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/08/13