Apache Struts2 远程代码执行漏洞(CVE-2020-17530)
日期:2020-12-09 10:54:52  发布人:教育信息化建设处  浏览量:120

Apache Struts2 组件介绍

Struts2是一个基于MVC设计模式的Web应用框架。在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互Struts2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开,所以Struts2可以理解为WebWork的更新产品。


漏洞描述

深信服千里目安全实验室在2020年12月08日监测到Apache Struts2存在一个远程代码执行漏洞(S2-061)。Struts2在某些标签属性中使用OGNL表达式,因为没有做内容过滤,在传入精心构造的请求时看,可以造成OGNL二次解析,执行指定的远程代码。攻击者可以通过构造恶意请求利用该漏洞,成功利用此漏洞可以造成远程代码执行。

 

影响范围

目前受影响的Apache Struts2版本:

Apache Struts 2.0.0 - 2.5.25

 

修复建议

目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:

https://github.com/apache/struts


 

核发:0 点击数:120 收藏本页
 

联系电话:023-42464987 重庆人文科技学院教育信息化建设处 版权所有