【漏洞预警】国家信息安全漏洞共享平台曝光Apache Struts2存在远程代码执行漏洞

转载于:https://www.cnvd.org.cn/webinfo/show/5899

安全公告编号:CNTA-2020-0026

    2020年12月8日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 远程代码执行漏洞(CNVD-2020-69833,对应CVE-2020-17530)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商已发布升级版本修复此漏洞。

    一、漏洞情况分析

    Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。

    2020年12月8日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2020-17530)。由于Struts2会对一些标签属性的属性值进行二次解析,当这些标签属性使用了 `%{x}` 且 `x` 的值用户可控时,攻击者利用该漏洞,可通过构造特定参数,获得目标服务器的权限,实现远程代码执行攻击。

    CNVD对该漏洞的综合评级为“高危”。

     二、漏洞影响范围

    漏洞影响的产品版本包括:

    Struts 2.0.0 - 2.5.25

    三、漏洞处置建议

   经综合技术研判,该漏洞的利用条件较高,难以进行大规模利用。Apache公司已发布了新版本(2.5.26)修复了该漏洞,CNVD建议用户及时升级至最新版本:

   https://cwiki.apache.org/confluence/display/WW/S2-061

 

   附:参考链接:

   https://cwiki.apache.org/confluence/display/WW/S2-061

附:Struts 2.5.26版本下载地址

  • 【Strust2所有依赖包】

  https://mirror.bit.edu.cn/apache/struts/2.5.26/struts-2.5.26-lib.zip

  • 【Strust2完整包】

  https://mirror.bit.edu.cn/apache/struts/2.5.26/struts-2.5.26-all.zip

  • 【Maven工程】

  https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.26

 

上一篇:05.Struts2中的标签库标签


下一篇:简单实现Struts2的权限拦截器