您好,欢迎访问安康学院信息化建设与管理中心!

网络安全

当前位置: 网站首页 > 网络安全 > 安全预警 > 正文

关于Apache Struts2存在远程代码执行漏洞(S2-061)的安全公告

发布时间:2020-12-10 14:47:17   阅读量:[]

一、漏洞情况分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。

2020年12月8日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2020-17530)。由于Struts2会对一些标签属性的属性值进行二次解析,当这些标签属性使用了 `%{x}` 且 `x` 的值用户可控时,攻击者利用该漏洞,可通过构造特定参数,获得目标服务器的权限,实现远程代码执行攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:Struts 2.0.0-2.5.25

三、漏洞处置建议

经综合技术研判,该漏洞的利用条件较高,难以进行大规模利用。Apache公司已发布了新版本(2.5.26)修复了该漏洞,CNVD建议用户及时升级至最新版本:https://cwiki.apache.org/confluence/display/WW/S2-061

附:参考链接:

https://cwiki.apache.org/confluence/display/WW/S2-061

 

 

上一条:关于微软Windows操作系统存在TCP/IP高危漏洞的安全公告

下一条:FruityWifi权限提升漏洞

安康学院  信息化建设与管理中心(师范生职业技能训练中心)  陕ICP备 06001643号

Baidu
map