专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
中国电建  ·  央媒聚焦:四川向家坝灌区一期工程正式通水 ·  2 天前  
光伏资讯  ·  2025年2月各省电网销售电价汇总!建议收藏! ·  3 天前  
中国电建  ·  【新春走基层】重大项目开春“火力全开” ·  3 天前  
龙船风电网  ·  江苏一台风机倒塌! ·  3 天前  
中国电建  ·  贯彻2025年工作会精神 | ... ·  4 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

【漏洞通告】Apache Struts2 远程代码执行漏洞(CVE-2020-17530)

深信服千里目安全实验室  · 公众号  ·  · 2020-12-08 20:16

正文


漏洞名称 : Apache  Struts2远程代码执行漏洞(CVE-2020-17530)

威胁等级 : 高危

影响范围 : Apache  Struts 2.0.0 - 2.5.25

漏洞类型 : 远程代码执行

利用难度 : 未知


漏洞分析


1 Apache Struts2 组件 介绍

Struts2是一个基于MVC设计模式的Web应用框架。在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互Struts2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开,所以Struts2可以理解为WebWork的更新产品。


2 漏洞描述

深信服千里目安全实验室在2020年12月08日监测到Apache Struts2存在一个远程代码执行漏洞(S2-061)。Struts2在某些标签属性中使用OGNL表达式时,因为没有做内容过滤,在传入精心构造的请求时看,可以造成OGNL二次解析,执行指定的远程代码。攻击者可以通过构造恶意请求利用该漏洞,成功利用此漏洞可以造成远程代码执行。


影响范围


目前受影响的Apache Struts2版本:

Apache Struts 2.0.0 - 2.5.25


解决方案


1 修复建议

目前厂商已发布升级补丁修复漏洞,请受影响用户及时更新官方补丁。官方链接如下:

https://github.com/apache/struts


时间轴


2020/12/08 Apache Struts2官方披露该漏洞

2020/12/08 深信服千里目安全实验室检测该漏洞并发布漏洞安全通告。







请到「今天看啥」查看全文


推荐文章
中国电建  ·  央媒聚焦:四川向家坝灌区一期工程正式通水
2 天前
光伏资讯  ·  2025年2月各省电网销售电价汇总!建议收藏!
3 天前
中国电建  ·  【新春走基层】重大项目开春“火力全开”
3 天前
龙船风电网  ·  江苏一台风机倒塌!
3 天前
中国电建  ·  贯彻2025年工作会精神 | 各单位以实干担当开新局谱新篇(上)
4 天前
虎嗅APP  ·  这些鸡年限量版大牌,到底有没有问过鸡的感受?
8 年前
每日必看军事  ·  赵本山赠给刘翔一副对联 憋住,憋住,不准笑!
8 年前
科学解码  ·  一棵整树杆被抬上车床 半小时后成了艺术品
7 年前
央视网体育  ·  二月二龙抬头温馨提示:你该去户外汲取“空气维生素”啦!
7 年前
机器学习研究会  ·  【学习】SLAM的现在与未来
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!