【風(fēng)險通告】Apache Struts 遠(yuǎn)程代碼執(zhí)行漏洞
2020-08-13 00:00:00
2020年8月13日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Struts 官方發(fā)布安全公告披露了S2-059 Struts 遠(yuǎn)程代碼執(zhí)行漏洞����。
該漏洞風(fēng)險極大,建議廣大用戶及時將Apache Struts框架升級到安全版本�,避免被黑客攻擊造成損失。
風(fēng)險等級
高危
漏洞編號
CVE-2019-0230
漏洞描述
Apache Struts2框架是一個用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架�。Apache Struts于2020年8月13日披露 S2-059 Struts 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0230)。Apache Struts的框架在被強制使用時�����,會對標(biāo)簽的屬性進(jìn)行二次求值���,這可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。只有在Struts標(biāo)簽屬性中強制使用OGNL表達(dá)式時�����,才能觸發(fā)漏洞�。
影響版本
Apache Struts 2.0.0 - 2.5.20
修復(fù)建議
盡快將Apache Struts框架升級至2.5.22版本
參考鏈接
https://cwiki.apache.org/confluence/display/WW/S2-059
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/08/13