预警背景描述
2020 年 8 月 13 日,Apache Struts 官方发布安全公告,公布 了一个远程代码执行漏洞 S2-059(CVE-2019-0230),一个拒绝服务 漏洞 S2-060(CVE-2019-0233)。这两个漏洞在 2019 年 11 月发布 的 Struts 2.5.22 版本中均已修复,建议未升级的用户尽快升级, 以降低安全风险。
预警描述
Apache Struts 是美国阿帕奇(Apache)软件基金会负责维护的 一个开源项目,是一套用于创建企业级 Java Web 应用的开源 MVC 框架,主要提供两个版本框架产品,Struts 1 和 Struts 2。
远程代码执行漏洞 S2-059(CVE-2019-0230):源于 Apache Struts 的框架在被强制使用时,会对标签的属性进行二次求值,这 可能导致远程代码执行。只有在 Struts 标签属性中强制使用 OGNL 表达式时,才能触发漏洞。
拒绝服务漏洞 S2-060(CVE-2019-0233):源于在上传文件时, 攻击者可以通过一个特别的请求造成访问权限的错误,从而导致上传 操作失败,造成拒绝服务攻击。
漏洞危害
攻击者成功利用上述漏洞,可以实现远程代码执行或拒绝服务攻 击。
受影响范围
受影响版本:Struts 2.0.0 – Struts 2.5.20 不受影响版本:Struts version >= Struts 2.5.22
修复建议
铱迅安全服务团队建议相关用户尽快将 Apache Struts 框架升 级至最新版本。
参考链接:
➢ https://struts.apache.org/announce.html#a20200813
➢ https://cwiki.apache.org/confluence/display/ww/s2-059
➢ https://cwiki.apache.org/confluence/display/ww/s2-060
