首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-17530 | Apache Struts遠程代碼執行漏洞通告

發布時間 2020-12-08


0x00 漏洞概述

CVE   ID

CVE-2020-17530

時      間

2020-12-08

類     型

RCE

等      級

高危

遠程利用

影響范圍

Apache struts

 2.0.0-2.5.25

 

0x01 漏洞詳情

 

image.png

 

Apache Struts 2 是一個用于開發Java EE網絡應用程序的開源Web框架,其利用并延伸了Java Servlet API,鼓勵開發者采用MVC架構。

2020年12月08日, Apache 發布安全公告,Struts中存在一個遠程代碼執行漏洞(CVE-2020-17530)。

Struts在某些情況下可能存在OGNL表達式注入漏洞,如果開發人員使用了 %{…} 語法進行強制OGNL解析,某些特殊的TAG屬性可能會被雙重解析。攻擊者可以通過構造惡意的OGNL表達式來利用此漏洞,最終造成遠程代碼執行。

 

0x02 處置建議

目前Apache已經修復了此漏洞,建議更新至Struts 2.5.26或更高版本。

下載鏈接:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

 

0x03 參考鏈接

https://cwiki.apache.org/confluence/display/WW/S2-061

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17530

https://nvd.nist.gov/vuln/detail/CVE-2020-17530

 

0x04 時間線

2020-12-08  Apache發布安全公告

2020-12-08  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/


image.png

 

上一篇 下一篇