99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

Apache Struts遠程代碼執(zhí)行安全風(fēng)險通告

發(fā)布日期：2020-12-8

?

漏洞描述

Apache Struts2框架是一個用于開發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 遠程代碼執(zhí)行漏洞（CVE-2020-17530），在使用某些tag等情況下可能存在OGNL表達式注入漏洞，從而造成遠程代碼執(zhí)行，風(fēng)險極大。禹宏信安提醒Apache Struts用戶盡快采取安全措施阻止漏洞攻擊。

漏洞編號

CVE-2020-17530

漏洞危害

該漏洞在使用某些tag等情況下可能存在OGNL表達式注入漏洞，從而造成遠程代碼執(zhí)行。如開發(fā)人員使用了?%{…}?語法，那么攻擊者可以通過構(gòu)造惡意的OGNL表達式，引發(fā)OGNL表達式二次解析，最終造成遠程代碼執(zhí)行的影響。

漏洞等級

高危
受影響版本

Apache Struts 2.0.0 – 2.5.25

修復(fù)方案

將Apache Struts框架升級至最新版本，Apache Struts >= 2.5.26為安全版本。

參考鏈接

1. https://cwiki.apache.org/confluence/display/WW/S2-061