亚洲欧美日韩国产精品专区,亚洲av成人午夜福利在线观看,亚洲精品一卡2卡3卡四卡乱码,亚洲av无码专区国产不卡顿,亚洲美国产亚洲av

首頁 >  最新公告  > 關于Apache Struts2存在遠程代碼執(zhí)行漏洞的安全公告

關于Apache Struts2存在遠程代碼執(zhí)行漏洞的安全公告

作者:景安警務室 最新公告 發(fā)布時間:2020-12-24瀏覽次數(shù):2085

尊敬的景安客戶:

您好!

近日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Struts2 遠程代碼執(zhí)行漏洞(CNVD-2020-69833,對應CVE-2020-17530)。攻擊者利用該漏洞,可在未授權的情況下遠程執(zhí)行代碼。目前,漏洞細節(jié)已公開,廠商已發(fā)布升級版本修復此漏洞。

景安在此提醒廣大用戶:請盡快檢查自用的系統(tǒng)程序是否受此次漏洞影響,確定有影響的立即組織修復,避免因未及時修復漏洞造成較嚴重的安全事件。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級web應用框架,成為國內(nèi)外較為流行的容器軟件中間件。2020年12月8日,Apache Strust2發(fā)布最新安全公告,Apache Struts2存在遠程代碼執(zhí)行的高危漏洞(CVE-2020-17530)。由于Struts2會對一些標簽屬性的屬性值進行二次解析,當這些標簽屬性使用了 `%{x}` 且 `x` 的值用戶可控時,攻擊者利用該漏洞,可通過構造特定參數(shù),獲得目標服務器的權限,實現(xiàn)遠程代碼執(zhí)行攻擊。CNVD對該漏洞的綜合評級為“高?!?。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括:Struts 2.0.0-2.5.25

三、漏洞處置建議

經(jīng)綜合技術研判,該漏洞的利用條件較高,難以進行大規(guī)模利用。Apache公司已發(fā)布了新版本(2.5.26)修復了該漏洞,CNVD建議用戶及時升級至最新版本:https://cwiki.apache.org/confluence/display/WW/S2-061


  • 聯(lián)系銷售
    請?zhí)砑游业钠髽I(yè)微信
    為您提供1V1產(chǎn)品咨詢,上云方案定制服務
    企業(yè)微信
  • 請?zhí)砑游⑿殴娞?/div>
    掃碼登錄,業(yè)務提醒
    工單申報,優(yōu)惠活動
    關注公眾號