【風(fēng)險(xiǎn)通告】Apache Struts2 遠(yuǎn)程代碼執(zhí)行
2020-12-08 00:00:00
2020年12月08日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Struts 官方發(fā)布安全公告�,披露 S2-061 Struts 遠(yuǎn)程代碼執(zhí)行漏洞�����。
該漏洞風(fēng)險(xiǎn)等級(jí)為高危����,請(qǐng)使用struts2相關(guān)用戶(hù)盡快升級(jí)到安全版本,避免遭受不必要的損失�。
漏洞描述
Apache Struts2是一個(gè)用于開(kāi)發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的開(kāi)源網(wǎng)頁(yè)應(yīng)用程序架構(gòu)。它利用并延伸了Java Servlet API����,鼓勵(lì)開(kāi)發(fā)者采用MVC架構(gòu)。
如果開(kāi)發(fā)人員使用%{…}語(yǔ)法應(yīng)用了強(qiáng)制OGNL求值����,則標(biāo)記的某些屬性可能會(huì)執(zhí)行雙重求值;對(duì)不受信任的用戶(hù)輸入使用強(qiáng)制OGNL計(jì)算可導(dǎo)致遠(yuǎn)程代碼執(zhí)行降低其安全性��。
風(fēng)險(xiǎn)等級(jí)
高危
影響版本
Apache Struts 2.0.0 - 2.5.25
修復(fù)建議
將Apache Struts 升級(jí)至 2.5.26版本
參考鏈接
[1]https://cwiki.apache.org/confluence/display/WW/S2-061
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/12/08