亚洲欧美日韩国产精品专区,亚洲av成人午夜福利在线观看,亚洲精品一卡2卡3卡四卡乱码,亚洲av无码专区国产不卡顿,亚洲美国产亚洲av

首頁(yè) >  最新公告  > 關(guān)于Apache Struts2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

關(guān)于Apache Struts2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

作者:景安警務(wù)室 最新公告 發(fā)布時(shí)間:2020-12-24瀏覽次數(shù):1700

尊敬的景安客戶(hù):

您好!

近日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2020-69833,對(duì)應(yīng)CVE-2020-17530)。攻擊者利用該漏洞,可在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。目前,漏洞細(xì)節(jié)已公開(kāi),廠(chǎng)商已發(fā)布升級(jí)版本修復(fù)此漏洞。

景安在此提醒廣大用戶(hù):請(qǐng)盡快檢查自用的系統(tǒng)程序是否受此次漏洞影響,確定有影響的立即組織修復(fù),避免因未及時(shí)修復(fù)漏洞造成較嚴(yán)重的安全事件。

一、漏洞情況分析

Struts2是第二代基于Model-View-Controller(MVC)模型的java企業(yè)級(jí)web應(yīng)用框架,成為國(guó)內(nèi)外較為流行的容器軟件中間件。2020年12月8日,Apache Strust2發(fā)布最新安全公告,Apache Struts2存在遠(yuǎn)程代碼執(zhí)行的高危漏洞(CVE-2020-17530)。由于Struts2會(huì)對(duì)一些標(biāo)簽屬性的屬性值進(jìn)行二次解析,當(dāng)這些標(biāo)簽屬性使用了 `%{x}` 且 `x` 的值用戶(hù)可控時(shí),攻擊者利用該漏洞,可通過(guò)構(gòu)造特定參數(shù),獲得目標(biāo)服務(wù)器的權(quán)限,實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?!?。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括:Struts 2.0.0-2.5.25

三、漏洞處置建議

經(jīng)綜合技術(shù)研判,該漏洞的利用條件較高,難以進(jìn)行大規(guī)模利用。Apache公司已發(fā)布了新版本(2.5.26)修復(fù)了該漏洞,CNVD建議用戶(hù)及時(shí)升級(jí)至最新版本:https://cwiki.apache.org/confluence/display/WW/S2-061


  • 聯(lián)系銷(xiāo)售
    請(qǐng)?zhí)砑游业钠髽I(yè)微信
    為您提供1V1產(chǎn)品咨詢(xún),上云方案定制服務(wù)
    企業(yè)微信
  • 請(qǐng)?zhí)砑游⑿殴娞?hào)
    掃碼登錄,業(yè)務(wù)提醒
    工單申報(bào),優(yōu)惠活動(dòng)
    關(guān)注公眾號(hào)