信息技术研究所官网
 
 首页  |  简介  |  网络法规  |  安全智库  |  业内动态  |  下载中心 
信息查询:
 
通知公告

网络安全和信息化办公室 寒假工作安排
关于微软谷歌的多个远程命令执行漏洞的预警通知
关于Windows Win32k权限提升漏洞(CVE-2021-1732)的预警提示
关于微软Exchange电子邮件服务组件存在漏洞的预警通知
关于VMware多款产品存在远程代码执行漏洞的安全公告
关于防范Incaseformat蠕虫病毒的预警通报



 
当前位置: 首页>>正文

关于Apache Struts2存在远程代码执行漏洞(S2-061)的安全公告
2020-02-10 13:28     (点击: )

2020年12月8日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 远程代码执行漏洞(CNVD-2020-69833,对应CVE-2020-17530)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商已发布升级版本修复此漏洞。

  一、漏洞情况分析

 Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。

 2020年12月8日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2020-17530)。由于Struts2会对一些标签属性的属性值进行二次解析,当这些标签属性使用了 `%{x}` 且 `x` 的值用户可控时,攻击者利用该漏洞,可通过构造特定参数,获得目标服务器的权限,实现远程代码执行攻击。

 CNVD对该漏洞的综合评级为“高危”。

  二、漏洞影响范围

漏洞影响的产品版本包括:

Struts 2.0.0-2.5.25

三、漏洞处置建议

经综合技术研判,该漏洞的利用条件较高,难以进行大规模利用。Apache公司已发布了新版本(2.5.26)修复了该漏洞,CNVD建议用户及时升级至最新版本:

https://cwiki.apache.org/confluence/display/WW/S2-061


附:参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-061



关闭窗口

地址:天津市西青区宾水西道391号天津理工大学8号楼308A 邮编:300384 电话:022-60215511   email:zxx(a)tjut.edu.cn  (a)替换成@
版权所有:天津理工大学网络安全和信息化办公室