• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Apache Struts2 遠程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2020-17530
    • 漏洞類型: 遠程代碼執(zhí)行
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2020-12-11
    • 更新時間:2021-01-14

    漏洞簡介

    Struts2是一個基于MVC設(shè)計模式的Web應(yīng)用框架。在MVC設(shè)計模式中,Struts2作為控制器(Controller)來建立模型與視圖的數(shù)據(jù)交互Struts2以WebWork為核心,采用攔截器的機制來處理用戶的請求,這樣的設(shè)計也使得業(yè)務(wù)邏輯控制器能夠與ServletAPI完全脫離開,所以Struts2可以理解為WebWork的更新產(chǎn)品。

    深信服千里目安全實驗室在2020年12月08日監(jiān)測到Apache Struts2存在一個遠程代碼執(zhí)行漏洞(S2-061)。Struts2在某些標簽屬性中使用OGNL表達式時,因為沒有做內(nèi)容過濾,在傳入精心構(gòu)造的請求時看,可以造成OGNL二次解析,執(zhí)行指定的遠程代碼。攻擊者可以通過構(gòu)造惡意請求利用該漏洞,成功利用此漏洞可以造成遠程代碼執(zhí)行。

    漏洞公示

    暫無

    參考網(wǎng)站

    受影響實體

    目前受影響的Apache Struts2版本:

    Apache Struts 2.0.0 - 2.5.25

    補丁

    目前廠商已發(fā)布升級補丁修復(fù)漏洞,請受影響用戶及時更新官方補丁。官方鏈接如下:

    https://github.com/apache/struts