【風險通告】Apache Struts2 遠程代碼執(zhí)行
2020-12-08 00:00:00
2020年12月08日,金山云安全應急響應中心監(jiān)測到Apache Struts 官方發(fā)布安全公告�,披露 S2-061 Struts 遠程代碼執(zhí)行漏洞。
該漏洞風險等級為高危�����,請使用struts2相關(guān)用戶盡快升級到安全版本��,避免遭受不必要的損失�。
漏洞描述
Apache Struts2是一個用于開發(fā)Java EE網(wǎng)絡應用程序的開源網(wǎng)頁應用程序架構(gòu)。它利用并延伸了Java Servlet API�����,鼓勵開發(fā)者采用MVC架構(gòu)���。
如果開發(fā)人員使用%{…}語法應用了強制OGNL求值����,則標記的某些屬性可能會執(zhí)行雙重求值;對不受信任的用戶輸入使用強制OGNL計算可導致遠程代碼執(zhí)行降低其安全性�����。
風險等級
高危
影響版本
Apache Struts 2.0.0 - 2.5.25
修復建議
將Apache Struts 升級至 2.5.26版本
參考鏈接
[1]https://cwiki.apache.org/confluence/display/WW/S2-061
北京金山云網(wǎng)絡技術(shù)有限公司
2020/12/08