關于Apache Struts2存在遠程代碼執行漏洞(S2-061)的安全公告

(作者:CNVD 文章來源:cnvd.org.cn 發布日期:2020-12-16 瀏覽數:)

安全公告編號:CNTA-2020-0026

2020年12月8日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Struts2 遠程代碼執行漏洞(CNVD-2020-69833,對應CVE-2020-17530)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞細節已公開,廠商已發布升級版本修復此漏洞。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業級web應用框架,成為國內外較為流行的容器軟件中間件。

2020年12月8日,Apache Strust2發布最新安全公告,Apache Struts2存在遠程代碼執行的高危漏洞(CVE-2020-17530)。由于Struts2會對一些標簽屬性的屬性值進行二次解析,當這些標簽屬性使用了 `%{x}` 且 `x` 的值用戶可控時,攻擊者利用該漏洞,可通過構造特定參數,獲得目標服務器的權限,實現遠程代碼執行攻擊。

CNVD對該漏洞的綜合評級為“高?!?。

二、漏洞影響范圍

漏洞影響的產品版本包括:

Struts 2.0.0-2.5.25

三、漏洞處置建議

經綜合技術研判,該漏洞的利用條件較高,難以進行大規模利用。Apache公司已發布了新版本(2.5.26)修復了該漏洞,CNVD建議用戶及時升級至最新版本:

https://cwiki.apache.org/confluence/display/WW/S2-061

附:參考鏈接:

https://cwiki.apache.org/confluence/display/WW/S2-061


感謝CNVD技術組支撐單位——北京知道創宇信息技術股份有限公司、奇安信科技集團股份有限公司為本報告提供的技術支持。


原文地址: https://www.cnvd.org.cn/webinfo/show/5899


168彩票网