2020年12月8日,腾讯云安全运营中心监测到,Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞,CVE编号:CVE-2020-17530。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。据官方描述,如果开发人员在解析%{…}等标签时强制使用OGNL evaluation,则某些标签的属性可能会执行double evaluation,从而可能使不受信任的用户输入导致远程代码执行等安全风险。
风险等级
高风险
漏洞风险
漏洞被利用可能导致远程代码执行。
影响版本
Struts 2.0.0 - Struts 2.5.25
安全版本
Struts 2.5.26及更高版本
修复建议
1)避免不受信任的用户输入使用强制OGNL evaluation
2)升级到Struts 2.5.26及更高版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://cwiki.apache.org/confluence/display/WW/S2-061
更多精彩内容点击下方扫码关注哦~
云鼎实验室视频号
一分钟走进趣味科技
-扫码关注我们-
云鼎实验室互动星球
一个多元的科技社交圈
-扫码关注我们-
关注云鼎实验室,获取更多安全情报
