发布时间:2020-12-10 13:31:07,来源:上海观安、斗象智能安全、北京天融信、深信服、绿盟科技、安恒信息、北京祥云网安科技
12月8日,监测发现Apache官方发布Struts 2.0.0到2.5.25版本中存在远程代码执行漏洞(S2-061)公告,对应CVE编号:CVE-2020-17530。在特定的环境下,远程攻击者通过构造恶意的OGNL表达式 ,可造成任意代码执行。
目前,Apache官方已发布新版本修复该漏洞,建议受影响用户及时将Struts 2升级至2.5.26版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞详情
Apache Struts 2是一个用于开发Java EE网络应用程序的开源网页应用程序架构。
该漏洞源于Struts 2.0.0到2.5.25版本中,Struts 2在某些标签属性中强制执行OGNL表达式时,可造成OGNL表达式二次解析,从而实现远程代码执行。
四、影响范围
Apache Struts 2 : 2.0.0 - 2.5.25
五、处置建议
目前,Apache官方已发布新版本,建议受影响用户及时升级至2.5.26版本。下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
六、参考链接
1)https://cwiki.apache.org/confluence/display/WW/S2-061
2)https://github.com/apache/struts