一、漏洞简述
2020年12月08日Apache Struts 官方发布安全公告,披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)。此漏洞是由于在使用TAG等情况下强制使用OGNL解析或OGNL表达式注入时导致TAG属性可能会执行双重解析而导致代码执行。
二、危害等级和版本
1. 危害等级
高
2. 影响版本
Apache Struts < 2.0.0 – 2.5.25
三、漏洞防护
1. 升级版本
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
2. 产品防护
瑞数动态安全具有防御0day攻击的能力,请相关用户及时更新保护策略,将存在漏洞系统或者链接纳入防御范围内。
3. 相关链接
-
https://struts.apache.org/announce#a20201208
-
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26
来源:freebuf.com 2020-12-11 16:38:50 by: riversecurity
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册