欢迎访问吉林农业大学信息化中心
网络安全
当前位置: 中心首页 > 网络安全 > 正文

Apache Struts 存在远程代码执行漏洞

发布时间:2020/08/20 10:43    浏览次数:

预警背景描述


2020 年 8 月 13 日,Apache Struts 官方发布安全公告,公布 了一个远程代码执行漏洞 S2-059(CVE-2019-0230),一个拒绝服务 漏洞 S2-060(CVE-2019-0233)。这两个漏洞在 2019 年 11 月发布 的 Struts 2.5.22 版本中均已修复,建议未升级的用户尽快升级, 以降低安全风险。


预警描述


Apache Struts 是美国阿帕奇(Apache)软件基金会负责维护的 一个开源项目,是一套用于创建企业级 Java Web 应用的开源 MVC 框架,主要提供两个版本框架产品,Struts 1 和 Struts 2。

远程代码执行漏洞 S2-059(CVE-2019-0230):源于 Apache Struts 的框架在被强制使用时,会对标签的属性进行二次求值,这 可能导致远程代码执行。只有在 Struts 标签属性中强制使用 OGNL 表达式时,才能触发漏洞。

拒绝服务漏洞 S2-060(CVE-2019-0233):源于在上传文件时, 攻击者可以通过一个特别的请求造成访问权限的错误,从而导致上传 操作失败,造成拒绝服务攻击。


漏洞危害


攻击者成功利用上述漏洞,可以实现远程代码执行或拒绝服务攻 击。


受影响范围


受影响版本:Struts 2.0.0 – Struts 2.5.20 不受影响版本:Struts version >= Struts 2.5.22


修复建议


铱迅安全服务团队建议相关用户尽快将 Apache Struts 框架升 级至最新版本。


参考链接:

https://struts.apache.org/announce.html#a20200813

https://cwiki.apache.org/confluence/display/ww/s2-059

➢ https://cwiki.apache.org/confluence/display/ww/s2-060



上一篇:Apache Shiro < 1.6.0 权限绕过漏洞
下一篇:Microsoft 发布 2020 年 8 月安全更新

帮助热线:0431-84533276

  

去百度地图》


  • 首页
  • 电话
  • 留言