• 我的位置:
  • 首頁(yè)
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞
    • CNNVD編號(hào):未知
    • 危害等級(jí): 高危 
    • CVE編號(hào):CVE-2020-17530
    • 漏洞類(lèi)型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類(lèi)型:遠(yuǎn)程
    • 廠(chǎng)       商:未知
    • 漏洞來(lái)源:深信服
    • 發(fā)布時(shí)間:2020-12-11
    • 更新時(shí)間:2021-01-14

    漏洞簡(jiǎn)介

    Struts2是一個(gè)基于MVC設(shè)計(jì)模式的Web應(yīng)用框架。在MVC設(shè)計(jì)模式中,Struts2作為控制器(Controller)來(lái)建立模型與視圖的數(shù)據(jù)交互Struts2以WebWork為核心,采用攔截器的機(jī)制來(lái)處理用戶(hù)的請(qǐng)求,這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與ServletAPI完全脫離開(kāi),所以Struts2可以理解為WebWork的更新產(chǎn)品。

    深信服千里目安全實(shí)驗(yàn)室在2020年12月08日監(jiān)測(cè)到Apache Struts2存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(S2-061)。Struts2在某些標(biāo)簽屬性中使用OGNL表達(dá)式時(shí),因?yàn)闆](méi)有做內(nèi)容過(guò)濾,在傳入精心構(gòu)造的請(qǐng)求時(shí)看,可以造成OGNL二次解析,執(zhí)行指定的遠(yuǎn)程代碼。攻擊者可以通過(guò)構(gòu)造惡意請(qǐng)求利用該漏洞,成功利用此漏洞可以造成遠(yuǎn)程代碼執(zhí)行。

    漏洞公示

    暫無(wú)

    參考網(wǎng)站

    受影響實(shí)體

    目前受影響的Apache Struts2版本:

    Apache Struts 2.0.0 - 2.5.25

    補(bǔ)丁

    目前廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁修復(fù)漏洞,請(qǐng)受影響用戶(hù)及時(shí)更新官方補(bǔ)丁。官方鏈接如下:

    https://github.com/apache/struts