CVE-2019-0230 | Apache Struts2 远程代码执行漏洞通告

  • A+
所属分类:安全漏洞

0x00 漏洞概述


CVE   ID

CVE-2019-0230

时     间

2020-08-14

类     型

RCE

等     级

高危

远程利用

影响范围

Apache  Struts 2.0.0-2.5.20


0x01 漏洞详情

CVE-2019-0230 | Apache Struts2 远程代码执行漏洞通告 

Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。

2020年8月13日,Apache官方发布公告,修复了一个Apache Struts2 远程代码执行漏洞(CVE-2019-0230)。该漏洞源于Struts 2会对某些标签的属性值进行二次表达式解析,当使用%{...} or ${...}语法对标签属性进行强制解析的情况下,OGNL表达式中引用未经验证的用户输入,通过构造恶意的OGNL表达式,导致远程代码执行。


0x02 处置建议


Apache官方已经发布新版本,请升级到Struts 2.5.22或更高版本,下载地址:

https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22

临时措施:

开启ONGL表达式注入保护,参考链接:

https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable


0x03 相关新闻


0x04 参考链接


https://cwiki.apache.org/confluence/display/WW/S2-059


0x05 时间线


2020-08-13 Apache官方发布公告

2020-08-14 VSRC发布漏洞通告

 

 

CVE-2019-0230 | Apache Struts2 远程代码执行漏洞通告




发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: