关于Apache Struts2存在远程代码执行漏洞(S2-061)的安全公告

admin
admin
admin
139544
文章
114
评论
2020年12月10日10:49:40评论261 views字数 789阅读2分37秒阅读模式
安全公告编号:CNTA-2020-0026

2020年12月8日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 远程代码执行漏洞(CNVD-2020-69833,对应CVE-2020-17530)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商已发布升级版本修复此漏洞。

一、漏洞情况分析
Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,成为国内外较为流行的容器软件中间件。
2020年12月8日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(CVE-2020-17530)。由于Struts2会对一些标签属性的属性值进行二次解析,当这些标签属性使用了 `%{x}` 且 `x` 的值用户可控时,攻击者利用该漏洞,可通过构造特定参数,获得目标服务器的权限,实现远程代码执行攻击。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
Struts 2.0.0-2.5.25
三、漏洞处置建议
经综合技术研判,该漏洞的利用条件较高,难以进行大规模利用。Apache公司已发布了新版本(2.5.26)修复了该漏洞,CNVD建议用户及时升级至最新版本:
https://cwiki.apache.org/confluence/display/WW/S2-061
 
附:参考链接:
https://cwiki.apache.org/confluence/display/WW/S2-061
 
感谢CNVD技术组支撑单位——北京知道创宇信息技术股份有限公司、奇安信科技集团股份有限公司为本报告提供的技术支持。

本文始发于微信公众号(CNVD漏洞平台):关于Apache Struts2存在远程代码执行漏洞(S2-061)的安全公告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月10日10:49:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于Apache Struts2存在远程代码执行漏洞(S2-061)的安全公告https://cn-sec.com/archives/199304.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息