首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2019-0230 | Apache Struts2遠程代碼執行漏洞通告

發布時間 2020-08-14

0x00 漏洞概述


CVE   ID

CVE-2019-0230

   

2020-08-14

  

RCE

   

高危

遠程利用

影響范圍

Apache Struts 2.0.0-2.5.20


0x01 漏洞詳情



Apache Struts是美國阿帕奇(Apache)軟件基金會負責維護的一個開源項目,是一套用于創建企業級Java Web應用的開源MVC框架。

2020年8月13日,Apache官方發布公告,修復了一個Apache Struts2遠程代碼執行漏洞(CVE-2019-0230)。該漏洞源于Struts 2會對某些標簽的屬性值進行二次表達式解析,當使用%{...} or ${...}語法對標簽屬性進行強制解析的情況下,OGNL表達式中引用未經驗證的用戶輸入,通過構造惡意的OGNL表達式,導致遠程代碼執行。


0x02 處置建議


Apache官方已經發布新版本,請升級到Struts 2.5.22或更高版本,下載地址:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

臨時措施:

1. 將輸入參數的值重新分配給某些Struts的標簽屬性時,始終對其進行驗證;

2. 除非有有效的用例,否則不要在值以外的標簽屬性中使用%{...}或$ {...}語法引用可修改的輸入,參考鏈接:

https://struts.apache.org/security/#use-struts-tags-instead-of-raw-el-expressions

3. 開啟ONGL表達式注入保護,參考鏈接:

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable



0x03 相關新聞


0x04 參考鏈接


https://cwiki.apache.org/confluence/display/WW/S2-059


0x05 時間線


2020-08-13 Apache官方發布公告

2020-08-14 VSRC發布漏洞通告






上一篇 下一篇