0x00 漏洞概述
|
CVE ID |
CVE-2019-0230 |
时 间 |
2020-08-14 |
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
Apache Struts 2.0.0-2.5.20 |
0x01 漏洞详情
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。
2020年8月13日,Apache官方发布公告,修复了一个Apache Struts2 远程代码执行漏洞(CVE-2019-0230)。该漏洞源于Struts 2会对某些标签的属性值进行二次表达式解析,当使用%{...} or ${...}语法对标签属性进行强制解析的情况下,OGNL表达式中引用未经验证的用户输入,通过构造恶意的OGNL表达式,导致远程代码执行。
0x02 处置建议
Apache官方已经发布新版本,请升级到Struts 2.5.22或更高版本,下载地址:
https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.22
临时措施:
开启ONGL表达式注入保护,参考链接:
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable
0x03 相关新闻
0x04 参考链接
https://cwiki.apache.org/confluence/display/WW/S2-059
0x05 时间线
2020-08-13 Apache官方发布公告
2020-08-14 VSRC发布漏洞通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论