《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Apache Struts 2遠程代碼執(zhí)行漏洞 (CVE-2020-17530) 預警

Apache Struts 2遠程代碼執(zhí)行漏洞 (CVE-2020-17530) 預警

2020-12-10
來源:互聯(lián)網(wǎng)安全內(nèi)參

  近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache Struts2 S2-061遠程代碼執(zhí)行漏洞(CNNVD-202012-449、CVE-2020-17530)情況的報送。成功利用漏洞的攻擊者可以在目標系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。目前,Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞。建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。

  一、漏洞介紹

  ApacheStruts2是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目中的一個子項目,是一個基于MVC設(shè)計的Web應(yīng)用框架。

  洞源于Apache Struts2在某些標簽屬性中使用OGNL表達式時,因為沒有做內(nèi)容過濾,導致攻擊者傳入精心構(gòu)造的請求時,可以造成OGNL二次解析,執(zhí)行指定的惡意代碼。

  二、危害影響

  成功利用漏洞的攻擊者可以在目標系統(tǒng)執(zhí)行惡意代碼。Apache Struts 2.0.0 - 2.5.25版本均受此漏洞影響。

  三、修復建議

  目前,Apache官方已經(jīng)發(fā)布了版本更新修復了該漏洞。建議用戶及時確認產(chǎn)品版本,盡快采取修補措施。Apache官方更新鏈接如下:

  http://struts.apache.org/download.cgi

  本通報由CNNVD技術(shù)支撐單位——亞信安全科技有限公司、內(nèi)蒙古洞明科技有限公司、北京華順信安科技有限公司、上海斗像信息科技有限公司、北京奇虎科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、深信服科技股份有限公司、遠江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、內(nèi)蒙古奧創(chuàng)科技有限公司、杭州安恒信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、新華三技術(shù)有限公司等技術(shù)支撐單位提供支持。

  CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。

  聯(lián)系方式: cnnvd@itsec.gov.cn



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。