Apache Struts远程代码执行漏洞通告 – 作者:riversecurity

一、漏洞简述

2020年12月08日Apache Struts 官方发布安全公告,披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530)。此漏洞是由于在使用TAG等情况下强制使用OGNL解析或OGNL表达式注入时导致TAG属性可能会执行双重解析而导致代码执行。

二、危害等级和版本

1. 危害等级

2. 影响版本

Apache Struts < 2.0.0 – 2.5.25

三、漏洞防护

1. 升级版本

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

2. 产品防护

瑞数动态安全具有防御0day攻击的能力,请相关用户及时更新保护策略,将存在漏洞系统或者链接纳入防御范围内。

3. 相关链接

  1. https://struts.apache.org/announce#a20201208

  2. https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

来源:freebuf.com 2020-12-11 16:38:50 by: riversecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论