Apache Struts2 S2-059(CVE-2019-0230) RCE漏洞通告

admin 2020年8月13日22:11:50评论177 views字数 925阅读3分5秒阅读模式

关于Apache Struts2

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。目前已经不是主流的Web技术,还存留在一些老旧系统中

漏洞等级

漏洞分析

如果攻击者可以设置Struts 2标签的属性值为恶意的OGNL表达式,则可能造成RCE 

影响范围

Struts 2.0.0~2.5.20

修复建议

  • 开启ONGL表达式注入保护措施 (https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable)

  • 升级到2.5.22及以上版本

总结

在安全漏洞这块儿Struts2和fastjson惺惺相惜(难兄难弟),一是容易出问题,二是出问题影响大,动不动就是RCE,三是牵连的业务难修复。笔者建议企业按照自己的实际情况制定计划,逐步替换,加快淘汰还在使用struts2系统。

参考

【漏洞预警】Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)

https://cwiki.apache.org/confluence/display/WW/S2-059

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable

https://cert.360.cn/warning/detail?id=d2b39f48fd31f3b36cc957f23d4777af

https://stackoverflow.com/questions/6134411/jstl-escaping-special-characters/6135001#6135001

关注我们

Apache Struts2 S2-059(CVE-2019-0230) RCE漏洞通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月13日22:11:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Struts2 S2-059(CVE-2019-0230) RCE漏洞通告http://cn-sec.com/archives/86846.html

发表评论

匿名网友 填写信息